.

Av Svenn Dybvik - 30 november 2020 05:00

▒

§IT

▼

Kundehåndtering, handel og medlemskap

https://www.datatilsynet.no/personvern-pa-ulike-omrader/kundehandtering-handel-og-medlemskap/

Forbrukertilsynet og Datatilsynet har laget en veileder der vi går gjennom det viktigste du som utvikler, markedsfører eller tilbyder av digitale tjenester må vite om reglene for forbruker- og personvern.

Les veilederen

Plikt til å oppfylle rettigheter

Alle virksomheter har plikt til å legge til rette for at brukere/kunder får oppfylt rettighetene sine på en enkel måte. Det skal som hovedregel gjøres uten kostnad for kunden og innen 30 dager.

Les mer om virksomhetens plikt til å oppfylle rettigheter

Kundeklubber og personvern

https://www.datatilsynet.no/personvern-pa-ulike-omrader/kundehandtering-handel-og-medlemskap/kundeklubber-og-personvern/

Kundeklubber må passe på hvordan de bruker kundenes personopplysninger. Særlig viktig er medlemmets samtykke og selvbestemmelsesrett over sine personopplysninger.

Alle kundeklubber behandler personopplysninger

Det er flere og flere virksomheter innen varehandel som tilbyr kundeklubber (også kjent som lojalitetsprogrammer eller fordelsprogrammer). Kundeklubbene tilbyr lojale kunder rabatter eller bonuser. For å kunne gi kundene dette, behandler kundeklubbene medlemmenes personopplysninger.

Kundeklubber kan bruke personopplysningene i den grad det er nødvendig for å tilby lojalitetsgodene. For eksempel trenger klubben å vite hvem som er med i kundeklubben. Noen ganger trenger man å se på hvor mye medlemmet har handlet for å regne ut bonus eller rabatter. Dette er legitimt.

Mange kundeklubber ønsker også å analysere medlemmenes handlemønster for å lære mer om kundene eller tilby personaliserte rabatter. Dette går ut over det som er strengt nødvendig for å tilby vanlig rabatt eller bonus. Derfor er det ikke fritt frem å utføre slike analyser.

Samtykke til analyse
Noen kunder ønsker å få tilpassede rabatter fordi de oppleves som mer relevante og nyttige.

På en annen side finnes det kunder som synes at analyse er ubehagelig. Handlemønstre kan avsløre uventede forhold. Hvilke matvarer vi legger i handlevogna kan for eksempel si noe om økonomien eller kostholdet vårt. Kosthold er igjen nært knyttet til helsa vår (og i noen tilfeller religion).

For å legge til rette for den enkelte medlems valg og kontroll over egne opplysninger, må kundeklubben be om medlemmets samtykke hvis man ønsker å analysere opplysningene.

Man skal unngå å foreta analyser som avdekker sensitive personopplysninger.

Det er strenge krav til hvordan samtykke innhentes. Et samtykke skal være frivillig, så det må være mulig å si nei til analyse uten å bli utestengt fra tjenesten.

Videre må virksomheten gi kortfattet og forståelig informasjon om hva samtykke innebærer. Man kan kun samtykke til ett spesifikt formål av gangen. Samtykke må avgis ved en aktiv handling (i motsetning til å passivt fullføre en registreringsprosess), og samtykkeforespørselen skal være adskilt fra annen informasjon og vilkår. Husk at samtykke må dokumenteres.

Selvbestemmelsesrett
Det er hvert enkelt medlem av kundeklubben som bestemmer over opplysningene som er gitt, og det skal være like lett å trekke tilbake samtykke som det var å gi det.

Lagringstid og tilgangsstyring
Personopplysningene skal ikke lagres lenger enn det som er nødvendig for formålet, for eksempel å gi rabatter. Det betyr at virksomheten må fastsette rimelige sletteregler. Det mest personvernvennlige alternativet skal være standard, så kan heller de kundene som ønsker lenger lagring, be om det.

Noen ganger har kundeklubbene plikt til å lagre enkelte opplysninger i fem år etter bokføringsloven. Det er legitimt, men personopplysninger som lagres for bokføringsformål, skal lagres separat og ikke brukes til andre ting. Virksomheten må ha på plass tilgangsstyring slik at kun de som jobber med bokføring og liknende har tilgang til disse opplysningene.

https://www.datatilsynet.no/rettigheter-og-plikter/personvernprinsippene/

Nyhetsbrev, epostlister og SMS

https://www.datatilsynet.no/personvern-pa-ulike-omrader/kundehandtering-handel-og-medlemskap/nyhetsbrev-epostlister-og-sms/

Hvordan er reglene for utsending av nyhetsbrev? Må man ha samtykke? Og hvilke regler gjelder?

Når en virksomhet skal behandle personopplysninger, må den ha et behandlingsgrunnlag. Både e-postadresse og mobilnummer regnes normalt som personopplysninger.

Noen ganger har andre lover tilleggskrav, for eksempel kan en viss handling kreve forutgående samtykke. Markedsføringsloven sier for eksempel at man som hovedregel må ha samtykke for å sende markedsføring på e-post eller SMS. Terskelen for hva som regnes som for markedsføring er lav, og mange nyhetsbrev vil derfor falle inn i denne kategorien.

Dersom din virksomhet skal sende ut markedsføring på e-post, må du altså forholde deg til to ulike lovverk:

Du må ha behandlingsgrunnlag etter personopplysningsloven for å bruke e-postadresser og mobilnumre.

Du må i utgangspunktet ha samtykke etter markedsføringsloven for å kontakte noen med markedsføring per e-post eller SMS.

Her utdyper vi hva reglene går ut på og hvilke unntak som gjelder.

Markedsføringslovens krav til samtykke

Markedsføringsloven sier at man må ha samtykke for å sende ut nyhetsbrev når disse fire vilkårene er oppfylt:

Nyhetsbrevet sendes ut som del av næringsvirksomhet og inneholder markedsføring, altså ved at man ønsker å påvirke til kjøp av en vare eller tjeneste.

Nyhetsbrevet sendes ved elektroniske kommunikasjonsmetoder som tillater individuell kommunikasjon, for eksempel e-post eller SMS.

Nyhetsbrevet sendes til en bestemt person, enten en privatperson eller en arbeidstaker i en virksomhet (for eksempel navn@virksomhet.no).

Det foreligger ikke et eksisterende kundeforhold der dere har mottatt den enkeltes e-postadresse i forbindelse med salg.

Dette vil si at virksomheten ikke trenger samtykke etter markedsføringsloven dersom nyhetsbrevet ikke inneholder markedsføring. Det trengs heller ikke samtykke dersom nyhetsbrevet inneholder markedsføring, men det foreligger et eksisterende kundeforhold i forbindelse med salg.

Dersom dere har spørsmål til markedsføringsloven, er Forbrukertilsynet riktig instans. De har laget en veileder der dere kan lese mer om hva som menes med for eksempel markedsføring og eksisterende kundeforhold.

Kravene til et gyldig samtykke etter markedsføringsloven tilsvarer kravene til et gyldig samtykke etter personvernforordningen. Derfor kan det være lett å forveksle disse to samtykkene, selv om de egentlig handler om ulike ting (samtykke til å kontakte noen med markedsføring og samtykke til behandling av personopplysninger).

Personopplysningslovens krav til behandlingsgrunnlag

En virksomhet må alltid ha et behandlingsgrunnlag for å behandle personopplysninger slik som navn, telefonnummer og e-postadresse. Det finnes flere mulige behandlingsgrunnlag, som samtykke, nødvendig for avtale eller interesseavveiing.

Les mer om de ulike behandlingsgrunnlagene

Dersom markedsføringsloven krever samtykke, kan samtykket også fungere som behandlingsgrunnlag. Det vil si at ett og samme samtykke kan oppfylle kravene etter begge lovene. Grunnen til at dette er mulig akkurat her, er at det man ber om samtykke til – å sende markedsføring og å behandle e-postadresse eller telefonnummer med det formål å sende markedsføring – henger så nært sammen at kravene til gyldig samtykke overholdes.

Eksempel

En virksomhet ber om samtykke til å sende ut nyhetsbrev. Det er frivillig å samtykke, virksomheten gir god informasjon og samtykkene kan dokumenteres. Under registreringsfeltet skriver virksomheten følgende:

«Ved å skrive inn e-postadressen din ovenfor og klikke på «Send meg nyhetsbrev» samtykker du til at vi sender deg informasjon om nye produkter og tilbud og at vi bruker e-postadressen din til å gjøre dette.»

Dersom den enkelte klikker på samtykkeknappen, har virksomheten innhentet samtykke etter markedsføringsloven og samtidig sikret behandlingsgrunnlag for å bruke e-postadressen til å sende nyhetsbrev og markedsføring.

Også andre behandlingsgrunnlag kan være relevante, for eksempel interesseavveiing. Husk at virksomheter må kunne dokumentere interesseavveiingene sine.

Dersom markedsføringsloven ikke krever samtykke, finnes det flere aktuelle behandlingsgrunnlag.

Eksempel

En virksomhet sender ut nyhetsbrev med markedsføring, men det foreligger et eksisterende kundeforhold som gjør at man ikke trenger samtykke etter markedsføringsloven. Virksomheten kommer frem til at behandlingsgrunnlaget for å bruke kundens e-post til å sende markedsføring er interesseavveiing.

En organisasjon sender ut nyhetsbrev om norsk politikk, og nyhetsbrevet inneholder ikke markedsføring. Organisasjonen sender kun nyhetsbrev til de som uttrykkelig har bedt om denne spesifikke tjenesten, og e-postadressene til mottakerne er nødvendig for å levere den etterspurte tjenesten. Virksomheten kommer frem til at behandlingsgrunnlaget er nødvendig for avtale.

Husk at dersom virksomheten også sporer om mottakeren har åpnet nyhetsbrevet, hva han klikker på, hvilke sider han besøker og liknende, er dette separate behandlinger av personopplysninger som krever eget behandlingsgrunnlag i tillegg.

Virksomhetenes plikter

Fastsette formål

Før ein kan sette i gang med å behandle personopplysningar, må det definerast eit eller fleire klart formulerte formål.

Ei verksemd kan aldri samle eller lagre personopplysningar utan eit formål. Dette vert slått fast i eit av personvernprinsippa i personvernforordninga. Personopplysningar skal berre nyttast for spesifikke, uttrykkelege, angitte og legitime formål.

Det at opplysningane kan vise seg å komme til nytte ein dag, er ikkje eit godt nok formål. Verksemda må ha eit reelt formål med opplysningane, og det må vere klart uttrykt og bestemt på førehand. Dette inneber at dersom verksemda ønskjer å bruke personopplysningar, må ho starte med å formulere formålet skriftleg først.

Når ein skal formulere formålet, er det viktig å vere konkret og open. Vide eller vage formuleringar er ikkje tillatne. Verksemda har plikt til å gje den einskilde informasjon om formålet med behandlinga av personopplysningar på ein forståeleg måte.

Døme

Ei foreining skriv at ho bruker personopplysningane til medlemane for administrasjon.
Dette er for vagt. Foreininga kan til dømes i staden seie at formålet med personopplysningane er å fakturere medlemsavgifta, invitere medlemane til foreiningsmøte og dokumentere at verksemda ikkje juksar med medlemstala.
Ein nettstad oppgjev at personopplysningane til brukarane kan brukast for å tilby relevant kommunikasjon og ei god brukaroppleving.
Dette er ikkje i tråd med lova fordi det ikkje er klart nok kva nettstaden vil nytte personopplysningane til. I staden kan man til dømes seie at nettstaden analyserer kva brukaren klikkar på for å gje tilpassa marknadsføring og avdekkje kva for funksjonar som er mest brukte, dersom det er tilfellet.

Ein bør unngå å seie at opplysningar «kan» brukast til eit eller fleire formål. I staden bør verksemda seie når opplysningane faktisk vil bli brukte til dei oppgjevne formåla.

Formålet må sjølvsagt halde seg innanfor kva som er lovleg. Det inneber mellom anna at handsaminga må ha eit rettsleg grunnlag.

Bordet fangar

Det definerte formålet avgjer kva verksemda kan bruke opplysningane til seinare. Lova forbyr å bruke personopplysningar på måtar som ikkje er i samsvar med det opphavlege formålet.

Spørsmålet er derfor kva som er «i samsvar» med det opphavlege formålet. Her skal verksemda leggje vekt på

alle samband mellom formålet opplysningane vart samla inn for, og formålet for den tiltenkte behandlinga
i kva for samanheng opplysningane vart samla inn og forholdet mellom verksemda og den einskilde
arten av personopplysningane og kor sensitive dei er
dei moglege konsekvensane for den einskilde ved den vidare behandlinga av opplysningane
om det ligg føre tiltak for personvernet

Verksemda må òg sjå på kva rimelige forventingar den einskilde har om korleis opplysningane deira vil bli behandla.

Forbodet mot behandling som ikkje er i samsvar med det opphavlege formålet, gjeld ikkje behandling av personopplysningar for

arkivformål i offentleg interesse
vitskapelege og historiske forskingsformål
statistikkformål

Det må ligge føre passande personverngarantiar for desse typane behandling, i tråd med personvernforordninga artikkel 89.

Formålet avgjer lagringstida

Personopplysningalova seier at personopplysningar ikkje kan lagrast lenger enn det som er naudsynt for formålet. I praksis betyr dette at verksemda må fastsetje sletterutinar som sikrar at opplysningane blir sletta når det ikkje lenger er naudsynleg å ta vare på dei.

Virksomhetenes plikter

Plikt til å fastsette formål - artikkel 5

EDPBs veiledning om personvern for små bedrifter

▼

EDPBs veiledning om personvern for små bedrifter | European Data Protection Board (europa.eu)

Hvilke rettigheter har enkeltpersoner i henhold til GDPR?

▲

Respektere enkeltpersoners rettigheter | European Data Protection Board (europa.eu)

Dataportabilitet

Gjennom retten til dataportabilitet har forbrukere rett til å få utlevert opplysninger om seg selv som de selv har gitt til tjenesten din. Retten til dataportabilitet skal gjøre det enklere for forbrukeren å bytte eller bruke flere tjenesteleverandører samtidig, og dermed forhindre at forbrukere låses til en tjeneste eller tilbyder.

Retten til dataportabilitet gjelder kun opplysninger du har behandlet på bakgrunn av samtykke eller at de var «nødvendig for å gjennomføre en avtale». Videre må det være snakk om data som forbrukeren aktivt har gitt til tjenesten, eller rådata om observert aktivitet, slik som logger og historikk. Retten gjelder ikke bearbeidede data, slik som dine egne analyser og profiler.

Husk:

Informer om retten til dataportabilitet på en kortfattet, lett forståelig og lett tilgjengelig måte.
Legg til rette for at forbrukeren kan bruke retten til dataportabilitet på en enkel måte.
- For eksempel bør det legges til rette for at slike henvendelser kan gjøres
elektronisk.
Hvis vilkårene om dataportabilitet er oppfylt, må du utlevere opplysningene så raskt som mulig, og normalt senest innen én måned. Dersom vilkårene ikke er oppfylt, må du si fra om dette innen den samme tidsfristen.
Utlever opplysningene i et strukturert, alminnelig anvendt og maskinlesbart format, slik at disse kan overføres til en annen tjenesteleverandør.
Gi begrunnelse dersom du gir avslag på anmodning om dataportabilitet, og gi samtidig informasjon om retten til å klage avslaget inn for Datatilsynet.
Ikke ta gebyr for å imøtekomme kravet om dataportabilitet.
Ikke oversend opplysningene ukryptert, for eksempel via en ukryptert e-post.

Retten til dataportabilitet følger av personvernforordningen artikkel 20, jf. pol. § 1.

Reglene om hvordan rettigheter skal imøtekommes, herunder regler om tidsfrister og betaling, følger av artikkel 12.

Plikten til informasjonssikkerhet følger av artikkel 5 nr. 1 bokstav f og artikkel 32.

Rett til dataportabilitet

https://www.datatilsynet.no/rettigheter-og-plikter/den-registrertes-rettigheter/rett-til-dataportabilitet/

Retten til dataportabilitet er en rettighet som skal styrke kontrollen din over egne personopplysninger. Dette gjør at kan du få utlevert personopplysninger om deg selv og gjenbruke dem som du vil på tvers av ulike systemer og tjenester.

Retten til dataportabilitet innebærer:

Med retten til dataportabilitet kan du få utlevert personopplysninger om deg og gjenbruke disse som du vil på tvers av ulike systemer og tjenester.

Dataportabilitet skal gjøre det lettere å bytte tjenesteleverandør. Du skal enkelt kunne ta med deg opplysningene dine til den leverandøren som tilbyr de beste vilkårene.

Opplysningene skal utleveres i et maskinlesbart og vanlig brukt filformat. Du kan kreve at personopplysningene dine overføres direkte til den nye tjenesteleverandøren når dette er teknisk mulig.

Med retten til dataportabilitet kan du flytte persondata fra en tjenesteleverandør til en annen på en trygg og sikker måte.

Din rett til dataportabilitet gjelder kun hvis opplysningene du ønsker utlevert er samlet inn på bakgrunn av samtykke eller kontrakt.

Rettigheten gjelder kun opplysninger som du selv har gitt til virksomheten. Dette gjelder for eksempel opplysninger som du bevist og aktivt har gitt fra deg, for eksempel i forbindelse med opprettelse av en brukerkonto. Det gjelder også opplysninger som er samlet inn fra deg gjennom aktiv bruk av en tjeneste, for eksempel data om dine løpeturer (puls, tid, lokasjon) samlet inn fra deg når du bruker en treningsapp.

Personopplysninger som tjenesteleverandøren ikke har samlet inn direkte fra deg, er ikke omfattet av denne retten. Dette gjelder blant annet opplysninger som tjenesteleverandøren har utledet basert på din aktive bruk av tjenesten. Dette er ikke opplysninger som er avgitt direkte av deg, men som virksomheten selv har opprettet basert på analyse av din bruk av tjenesten.

Du har krav på å få dataene utlevert så raskt som mulig, og senest innen en måned.

Opplysningene skal sendes til deg kryptert. Du bør sende opplysningene videre på samme måte som du fikk dem.

Virksomheten må kunne fastslå din identitet før de utleverer opplysningene dine til deg.

Virksomheter har ikke lov til å ta gebyr for å imøtekomme kravet om dataportabilitet

Allmänt · ‽IT · ∴ · interrobangit · Svenn Dybvik · § · §IT

Dela · Kommentera

.

Kommentera

Av Svenn Dybvik - 31 oktober 2020 06:00

▒

§IT

▼

Rett til sletting

https://www.datatilsynet.no/rettigheter-og-plikter/den-registrertes-rettigheter/rett-til-sletting/

I enkelte tilfeller kan du kreve at personopplysninger om deg slettes. Dette kalles noen ganger «retten til å bli glemt».

Med mindre et av unntakene gjelder (se lenger ned), kan du kreve sletting av opplysningene dine i følgende tilfeller:

Dersom du benytter deg av din rett til å protestere mot bruk av personopplysningene dine .
Dersom virksomheten behandler personopplysningene dine fordi du har gitt samtykke og du trekker tilbake samtykket.
Dersom du er mindreårig og har brukt en digital tjeneste, slik som sosiale medier.
Dersom det ikke lenger er nødvendig å beholde opplysningene dine – formålet med opplysningene er oppnådd.
Dersom opplysningene har blitt innhentet ulovlig.
Dersom virksomheten har sletteplikt etter loven.

Virksomheten skal gjennomføre sletting uten ugrunnet opphold og normalt senest innen én måned.

Sletting av søketreff i søkemotorer

Du kan også søke om sletting av søketreff som kommer opp når noen søker etter navnet ditt i søkemotorer slik som Google. Om du har rett til sletting, kommer an på en sammensatt vurdering. Les mer om hvordan du ber Google om sletting

Unntak

Retten til å kreve sletting gjelder ikke i følgene tilfeller:

Personopplysningene inngår i en ytring som er vernet av ytrings- og informasjonsfriheten.
Lagring er nødvendig for arkivering i allmenhetens interesse, vitenskapelige eller historiske forskningsformål eller statistiske formål. Unntaket gjelder bare dersom sletting i alvorlig grad vil hindre at målene nås. Videre sier personvernforordningen artikkel 89 at disse typene behandling av personopplysninger må ha tiltak og garantier for å vareta den enkeltes personvern.
Les mer om journalistiske, akademiske, kunstneriske og litterære formål
Virksomheten har lagringsplikt etter lov (for eksempel bokføringsplikt).
Lagring er nødvendig for visse typer bruk innen helsetjenesten (etter personvernforordningen artikkel 9).
Lagring er nødvendig for å fastsette, gjøre gjeldende eller forsvare rettskrav.

Virksomheten har plikter dersom den har utlevert opplysninger

Dersom du har rett til sletting og virksomheten på et tidligere tidspunkt har utlevert opplysninger om deg til noen andre, har den normalt plikt til å si fra til mottakeren eller mottakerne om slettingen. Du har også rett til å få vite hvem som har mottatt opplysningene (artikkel 19).

Der opplysningene har blitt offentliggjort, skal virksomheten ta rimelige skritt for å informere andre som linker til eller har kopiert opplysningene, om at du har bedt om sletting.

Dine rettigheter

https://lovdata.no/dokument/NL/lov/2018-06-15-38/KAPITTEL_gdpr-3-3#gdpr/a17

Artikkel 17.Rett til sletting («rett til å bli glemt»)
1. Den registrerte skal ha rett til å få personopplysninger om seg selv slettet av den behandlingsansvarlige uten ugrunnet opphold, og den behandlingsansvarlige skal ha plikt til å slette personopplysninger uten ugrunnet opphold dersom et av de følgende forhold gjør seg gjeldende:
a. personopplysningene er ikke lenger nødvendige for formålet som de ble samlet inn eller behandlet for,
b. den registrerte trekker tilbake samtykket som ligger til grunn for behandlingen, i henhold til artikkel 6 nr. 1 bokstav a) eller artikkel 9 nr. 2 bokstav a), og det ikke finnes noe annet rettslig grunnlag for behandlingen,
c. den registrerte protesterer mot behandlingen i henhold til artikkel 21 nr. 1, og det ikke finnes mer tungtveiende berettigede grunner til behandlingen, eller den registrerte protesterer mot behandlingen i henhold til artikkel 21 nr. 2,
d. personopplysningene er blitt behandlet ulovlig,
e. personopplysningene må slettes for å oppfylle en rettslig forpliktelse i unionsretten eller medlemsstatenes nasjonale rett som den behandlingsansvarlige er underlagt,
f. personopplysningene er blitt samlet inn i forbindelse med tilbud om informasjonssamfunnstjenester som nevnt i artikkel 8 nr. 1.
2. Dersom den behandlingsansvarlige har offentliggjort personopplysningene og i henhold til nr. 1 har plikt til å slette personopplysningene, skal vedkommende, idet det tas hensyn til tilgjengelig teknologi og gjennomføringskostnadene, treffe rimelige tiltak, herunder tekniske tiltak, for å underrette behandlingsansvarlige som behandler personopplysningene, om at den registrerte har anmodet om at nevnte behandlingsansvarlige skal slette alle lenker til, kopier eller reproduksjoner av nevnte personopplysninger.
3. Nr. 1 og 2 får ikke anvendelse dersom nevnte behandling er nødvendig
a. for å utøve retten til ytrings- og informasjonsfrihet,
b. for å oppfylle en rettslig forpliktelse som krever behandling i henhold til unionsretten eller medlemsstatenes nasjonale rett som den behandlingsansvarlige er underlagt, eller for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt,
c. av hensyn til allmennhetens interesse på området folkehelse i samsvar med artikkel 9 nr. 2 bokstav h) og i) og artikkel 9 nr. 3,
d. for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål i samsvar med artikkel 89 nr. 1 i den grad rettigheten nevnt i nr. 1 sannsynligvis vil gjøre det umulig eller i alvorlig grad vil hindre at målene med nevnte behandling nås, eller
e. for å fastsette, gjøre gjeldende eller forsvare rettskrav.
Artikkel 18.Rett til begrensning av behandling
1. Den registrerte skal ha rett til å kreve av den behandlingsansvarlige at behandlingen begrenses dersom et av de følgende forhold gjør seg gjeldende:
a. den registrerte bestrider riktigheten av personopplysningene, i en periode som gjør det mulig for den behandlingsansvarlige å kontrollere riktigheten av personopplysningene,
b. behandlingen er ulovlig og den registrerte motsetter seg sletting av personopplysningene og isteden anmoder om at bruken av personopplysningene begrenses,
c. den behandlingsansvarlige ikke lenger trenger personopplysningene til formålet med behandlingen, men den registrerte har behov for disse for å fastsette, gjøre gjeldende eller forsvare rettskrav,
d. den registrerte har protestert mot behandling i henhold til artikkel 21 nr. 1 i påvente av kontrollen av om hvorvidt den behandlingsansvarliges berettigede grunner går foran den registrertes.
2. Dersom behandlingen er blitt begrenset i henhold til nr. 1, skal slike personopplysninger, bortsett fra lagring, bare behandles med den registrertes samtykke eller for å fastsette, gjøre gjeldende eller forsvare rettskrav eller for å verne en annen fysisk eller juridisk persons rettigheter eller av hensyn til viktige allmenne interesser i Unionen eller en medlemsstat.
3. En registrert som har oppnådd begrensning av behandlingen i henhold til nr. 1, skal underrettes av den behandlingsansvarlige før nevnte begrensning av behandlingen oppheves.
Artikkel 19.Underretningsplikt i forbindelse med retting eller sletting av personopplysninger eller begrensning av behandling
Den behandlingsansvarlige skal underrette enhver mottaker som har fått utlevert personopplysninger, om enhver retting eller sletting av personopplysninger eller begrensning av behandlingen utført i samsvar med artikkel 16, artikkel 17 nr. 1 og artikkel 18, med mindre dette viser seg å være umulig eller innebærer en uforholdsmessig stor innsats. Den behandlingsansvarlige skal underrette den registrerte om nevnte mottakere dersom den registrerte anmoder om det.

Artikkel 20.Rett til dataportabilitet
1. Den registrerte skal ha rett til å motta personopplysninger om seg selv som vedkommende har gitt til en behandlingsansvarlig, i et strukturert, alminnelig anvendt og maskinlesbart format og skal ha rett til å overføre nevnte opplysninger til en annen behandlingsansvarlig uten at den behandlingsansvarlige som personopplysningene er gitt til, hindrer dette, dersom
a. behandlingen er basert på samtykke i henhold til artikkel 6 nr. 1 bokstav a) eller artikkel 9 nr. 2 bokstav a) eller en avtale i henhold til artikkel 6 nr. 1 bokstav b), og
b. behandlingen utføres automatisk.
2. Når den registrerte utøver sin rett til dataportabilitet i henhold til nr. 1, skal vedkommende, når det er teknisk mulig, ha rett til å få overført personopplysningene direkte fra en behandlingsansvarlig til en annen.
3. Utøvelse av rettigheten nevnt i nr. 1 i denne artikkel berører ikke artikkel 17. Nevnte rettighet får ikke anvendelse på behandling som er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt.
4. Rettigheten nevnt i nr. 1 skal ikke ha negativ innvirkning på andres rettigheter og friheter.

Sletting av personopplysninger

Tjenesten din har plikt til å legge til rette for at forbrukere får ivaretatt sine rettigheter, slik som retten til sletting. Du har imidlertid også plikt til å vurdere sletting av eget tiltak. Hvis avtaleforholdet med forbrukeren avsluttes, vil det normalt ikke lenger være grunnlag for eller nødvendig å behandle personopplysningene til forbrukeren – avtalen er avsluttet, og formålet med opplysningene er oppnådd.

Det er forbudt å oppbevare personopplysninger lengre enn det som er nødvendig for formålet de ble samlet inn for. Det vil si at når formålet er nådd, skal opplysningene slettes, selv om forbrukeren ikke har bedt om det. I noen tilfeller kan man imidlertid ha plikt til å ta vare på opplysningene i lengre tid, for eksempel etter bokførings- loven.

Husk:

Informer om retten til sletting på en kortfattet, lett forståelig og lett tilgjengelig måte.
Sørg for å ha systemer og rutiner som sikrer at virksomheten din på eget tiltak gjennomfører fortløpende sletting dersom personopplysningene ikke lenger er nødvendige å behandle.
Slett opplysningene av eget tiltak dersom behandlingen er basert på samtykke og forbrukeren trekker tilbake samtykket sitt, eller dersom behand- lingen er basert på avtale og avtalen avsluttes, med mindre opplysningene samtidig behandles for andre formål basert på andre behandlingsgrunnlag.
Legg til rette for at forbrukeren kan bruke retten til sletting på en enkel måte.
- For eksempel bør det legges til rette for at slike henvendelser kan gjøres
elektronisk.
Hvis vilkårene for sletting er oppfylt, må du slette opplysningene så raskt som mulig, og normalt innen én måned. Dersom vilkårene ikke er oppfylt, må du si fra om dette innen den samme tidsfristen.
Gi begrunnelse dersom du gir avslag på anmodning om sletting, og gi samtidig informasjon om retten til å klage avslaget inn for Datatilsynet.
Ikke ta gebyr for å slette personopplysninger om forbrukere.

Regler om sletting følger av personvernforordningen artikkel 5 nr. 1 bokstav e, artikkel 17 og artikkel 25 nr. 2, jf. pol. § 1.

Reglene om hvordan rettigheter skal imøtekommes, herunder regler om tidsfrister og betaling, følger av artikkel 12.

https://lovdata.no/artikkel/fire_nye_avgjorelser_fra_datatilsynet_om_kameraovervakning/3400

Retten til privatliv og krav til berettiget interesse

Kameraovervåkning av det offentlige rom eller annens private eiendom vil som en hovedregel kunne utgjøre et brudd på den enkeltes rett til privatliv. I tillegg vil kameraovervåkning, eller deling av slike opptak, kunne involvere behandling av personopplysninger dersom kameraet fanger opp identifiserte eller identifiserbare personer. I slike tilfeller må den som overvåker ha et behandlingsgrunnlag i GDPR artikkel 6 for at behandlingen skal være lovlig. Dersom overvåkingen går ut på å samle inn sensitive personopplysninger, for eksempel ved at stedet man overvåker er uløselig knyttet til sensitive forhold, gjelder enda strengere regler.

Mest aktuelt i denne sammenhengen er berettiget interesse etter GDPR artikkel 6 nr. 1 bokstav f. Bestemmelsen gir rettslig grunnlag for å behandle personopplysninger dersom det er nødvendig for å ivareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern.

Tre kumulative vilkår må være oppfylt. Kameraovervåkningen eller behandlingen av kameraopptak må for det første være for et formål knyttet til virksomhetens berettigede interesse. Videre må kameraovervåkingen være et nødvendig tiltak for å ivareta den berettigede interessen. Dette innebærer at det ikke må finnes andre mindre personverninngripende tiltak som kan oppnå det formålet. Til sist må det foretas en interesseavveining mellom virksomhetens berettigede interesser på den ene siden og hensynet til individenes rett til personvern på den andre.

Datatilsynet har hittil i år drøftet kravet til berettiget interesse i fire saker om kameraovervåkning. I alle sakene kom Datatilsynet til at det forelå brudd på GDPR.

https://lod.lovdata.no/journal/2023/1/m-1289/Deling_av_bilder_av_ansatte_–_krav_om_samtykke?

Deling av bilder av ansatte – krav om samtykke?

En arbeidsgiver vil kunne ha interesse av å dele bilder av sine ansatte i ulike sammenhenger, for eksempel publisering av bilder internt (typisk på selskapets intranett) og publisering i eksterne kanaler. For virksomheter som primært selger de ansattes kompetanse, slik som advokat- og konsulentselskaper, vil slik publisering være av særlig interesse.

Bildedeling reiser flere personvernrettslige problemstillinger. I denne artikkelen vil vi begrense oss til å se nærmere på et av de viktigste spørsmålene, nemlig behandlingsgrunnlag. GDPR oppstiller ulike behandlingsgrunnlag, som alle er likestilte. De mest aktuelle i denne sammenhengen er samtykke og berettiget interesse.

Datatilsynet: Utgangspunktet er samtykke

I Datatilsynets veiledning om deling av bilder fremgår det at man i utgangspunktet må be om samtykkefør publisering av bilder hvor en eller flere bestemte personer er hovedmotivet (såkalte portrettbilder).

Dette standpunktet gjelder tilsynelatende uavhengig av om bildet deles i en lukket gruppe (f.eks. på Facebook) eller om bildet gjøres åpent tilgjengelig på internett (f.eks. på virksomhetens hjemmeside eller via åpne grupper på sosiale medier).

https://www.datatilsynet.no/personvern-pa-ulike-omrader/personvern-pa-arbeidsplassen/bilder-ansatte_nett/

Personvern på arbeidsplassen

Bilder av ansatte på inter- eller intranett

Arbeidsgiveren din skal i utgangspunktet be om ditt samtykke før det publiseres bilder av deg på virksomhetens nettsider. Dette gjelder både når nettsidene det er snakk om er åpne (internett) eller interne i virksomheten (intranett).

Portrettbilder

Når hovedmotivet i et bilde er en eller flere personer, defineres det som et portrettbilde. Arbeidsgiveren må som regel hente inn samtykke fra de ansatte hvis det skal publiseres portrettbilder av dem på internett eller intranett, for eksempel i forbindelse med en telefonliste.

Situasjonsbilder

Situasjonsbilder fra arrangementer i regi av arbeidsgiver, og som ikke er et portrett, kan derimot legges på virksomhetens intranett uten samtykke fra de ansatte. Eksempler på situasjonsbilder er bilder fra julebord eller bedriftsidrettsdag. Dette gjelder ikke dersom arbeidsgiver har grunn til å tro at de som er på bildene ikke vil ønske at bildene blir publisert. Arbeidsgiver skal også ta bort bildene dersom de som er avbildet ber om det.

Som hovedregel bør derfor arbeidsgiveren alltid be om samtykke fra de ansatte til publisering av bilder der de ansatte blir identifisert.

Les mer om bilder på nett i vår generelle veiledning

Les mer

https://www.datatilsynet.no/personvern-pa-ulike-omrader/internett-og-apper/

Utestengt fra brukerkontoen din?

Mange sender klage til Datatilsynet fordi brukerkontoen deres, for eksempel på sosiale medier, har blitt blokkert av en eller annen – noen ganger ukjent – grunn. Dersom du opplever dette, bør du lese dette først.

Vanligvis er kontoer blokkert fordi brukeren er mistenkt for å ha brutt vilkårene til tjenesten – altså ha gjort noe som bryter med tjenestens retningslinjer. Vilkårene er en del av avtalen mellom brukeren og tjenesten.

Datatilsynet har ikke myndighet til å avgjøre om en slik utestengelse er riktig eller lovlig. Vi kan heller ikke beordre en tjeneste til å oppheve blokkeringen og gjenåpne en bestemt konto.

Mulige personvernproblemstillinger

I saker der en brukerkonto har blitt blokkert, kan det imidlertid oppstå personvernutfordringer. Her er noen typiske problemstillinger:

Selv om brukerkontoen har blitt blokkert, har du i utgangspunktet fortsatt rett til innsyn i dine egne personopplysninger. Det inkluderer i prinsippet også vurderinger om hvorfor du har blitt utestengt.

Merk at innsynsretten ikke er absolutt – det finnes en rekke unntak, for eksempel at innsynsretten må balanseres opp mot andres rettigheter. Dersom du blir nektet innsyn, skal du få en begrunnelse med henvisning til et av unntakene.

Dersom du ikke får svar på forespørselen om innsyn innen én måned, eller dersom tjenesten avslår innsyn uten å gi en korrekt begrunnelse, kan det være et brudd på reglene, og saken kan klages inn til oss.
Selv om en brukerkonto har blitt blokkert, har du i flere tilfeller rett til sletting av personopplysningene dine.

Vær oppmerksom på at du ikke har rett til sletting i alle tilfeller. For eksempel er det ingen rett til å få opplysninger slettet hvis videre lagring er nødvendig av hensyn til tjenestens juridiske forpliktelser, eller hvis personopplysningene er nødvendige for å fastsette, gjøre gjeldende eller forsvare rettskrav.

Likevel, når du ber om sletting, må tjenesten gi informasjon om hva de har gjort for å møte forespørselen. Dersom tjenesten ikke sletter personopplysningene, må den gi en begrunnelse og vise hvilket unntak den har basert avslaget på.

Dersom du ikke får svar på forespørselen innen én måned, eller dersom tjenesten avslår slettingen uten å gi en korrekt begrunnelse, kan dette være et brudd på reglene som kan klages inn til oss.
Selv om en brukerkonto har blitt blokkert, har du rett til retting dersom du mener at personopplysningene dine i tjenesten er uriktige. Dette kan spesielt være aktuelt hvis du, gjennom en innsynsbegjæring, finner ut at du har blitt utestengt på uriktig grunnlag. Det kan også være aktuelt dersom brukerkontoen din er knyttet til feil e-postadresse eller telefonnummer.

Merk at dette ikke gjelder der tjenesten har basert vurderingen på riktige fakta, men der du er uenig i reaksjonen.

Som for de andre rettighetene, må tjenesten normalt svare på retteforespørselen innen én måned, og dersom forespørselen ikke blir besvart, skal du ha en begrunnelse med et unntak i loven. Hvis ikke disse reglene følges, kan du klage til Datatilsynet.
Beslutningen om å blokkere en konto, kan være basert en helautomatisk avgjørelse, noe som betyr at ingen mennesker har vært involvert i avgjørelsen. I dette tilfellet har du i det minste rett til å få en menneskelig vurdering. Tjenesten må altså tilby en mulighet til å få avgjørelsen om utestengelse gjennomgått av en person.

Som ellers skal du normalt få svar innen én måned, og eventuelle avslag skal begrunnes. Hvis ikke kan du klage til oss.
Tjenesten skal legge til rette for at du kan utøve personvernrettighetene dine. Det betyr at tjenesten må oppgi et kontaktpunkt for hvor du kan henvende deg, for eksempel en e-postadresse eller et kontaktskjema, og det skal være enkelt for en normal brukere å finne frem.

Ofte kan er det lagt opp til at man kan utøve rettighetene sine når man er inne på brukerkontoen sin. Hvis du er utestengt fra brukerkontoen, må tjenesten tilby en annen måte du kan komme i kontakt med dem på.

Hvis du ikke finner et kontaktpunkt, kan dette være et brudd på personvernreglene, og det kan være noe du kan klage til oss på.

Vær oppmerksom på at informasjonen over er generell veiledning om personvernspørsmål i sammenheng med utestengelse fra brukerkontoer på nettjenester. Å avgjøre om et brudd på personvernlovgivningen faktisk har skjedd, krever en grundig vurdering av fakta i hver enkelt sak.

Hvis du sender inn en klage til oss, vennligst oppgi følgende:

Hvilke(n) av rettighetene ovenfor gjelder klagen din?
Gi en detaljert beskrivelse av hva som har skjedd.
Legg ved kopi av kommunikasjonen du har hatt med tjenesten om personvernrettighetene dine.

Dersom du ikke oppgir denne informasjonen, kan saken din bli forsinket eller avvist. Igjen minner vi om at Datatilsynet ikke kan hjelpe deg med selve utestengelsen.

Dersom du vil sende klage

Vanligvis krever det internasjonalt samarbeid å behandle saker om nettjenester. Det betyr at dersom du klager til oss, vil den mest sannsynlig bli videresendt til en annen datatilsynsmyndighet i EØS, men Datatilsynet i Norge vil fortsatt være kontaktpunktet ditt under hele saksbehandlingen.

Vær også oppmerksom på at disse rettighetene gjelder fysiske personer. Juridiske personer eller offentlige organer som har brukerkontoer på sosiale medier eller liknende, har ikke rettigheter etter personvernforordningen og kan dermed ikke sende inn klage til oss.

https://www.datatilsynet.no/personvern-pa-ulike-omrader/internett-og-apper/personvern-i-sosiale-nettsamfunn/

Personvern i sosiale medier

Ulike sosiale nettsamfunn har system som skal gi deg som bruker kontroll over hva du vil dele med andre. Du bør tenke gjennom hvilke opplysninger som er private og hvilke du vil dele.

Råd om sosiale medier og personvern

Undersøk om nettsamfunnet har en personvernerklæring. Gå gjennom den.
Sett deg inn i avkrysningsvalg du har for å beskytte dine opplysninger. Ta deg tid til å teste ut hvordan de ulike profilinnstillingene virker i praksis.
Gi ikke fra deg hele e-postadresseboka til aktørene bak nettsamfunnet, og i alle fall ikke passordet til din e-postkonto.
Benytt en e-postadresse du uten større bryderi kan erstatte dersom du senere skulle oppleve å bli utsatt for spam, eller andre uønskede henvendelser via e-post.
Du er selv ansvarlig for all informasjon du legger ut på profilen din. Legg ikke ut bilder eller personopplysninger om andre uten først å ha spurt dem om lov.
Vær forsiktig med å legge ut opplysninger om politisk oppfatning, tro og seksuell legning om andre. Dette er i norsk og europeisk personvernlovgivning regnet som sensitive personopplysninger.
Det du ikke ville sagt om deg selv eller andre i en større forsamling av kjente og ukjente personer, bør du heller ikke publisere på Internett. Opplysninger du gir i ”fortrolighet” til venner på din profil, kan lett bli klippet ut og benyttet i helt andre sammenhenger.
Sjekk om de som står bak nettsamfunnet kan bistå deg med å få fjernet krenkende bilder og personopplysninger. Bruk muligheten om du finner åpenbart krenkende og sjikanerende innhold. Dersom innholdet er så ekstremt at det må fjernes raskt bør du kontakte politiet på hjemstedet ditt.
Les mer om uønskede hendelser og hvordan du kan gå frem dersom du opplever dette på dubestemmer.no, en nettside primært for barn og unge, men med mange gode tips.

Sjikane, trusler og spredning av andres personopplysninger på Internett kan være straffbart. Straffeloven, åndsverksloven og personopplysningsloven, er tre lover som regulerer disse forholdene.

Det kan også være lurt å reflektere over følgende:

Selv om aktørene bak nettsamfunnet tilsynelatende har en god personvernpolicy vet du egentlig ingenting om dem og deres intensjoner i dag, eller i fremtiden. Nettsteder forandrer seg hele tiden, og kan få ny funksjonalitet, finne nye markedsmuligheter eller få nye eiere. Facebook forbeholder seg retten til å endre vilkår og personvernpolicy når som helst. Se derfor for deg muligheten for at de personopplysningene du har lagt ut kan bli utlevert og benyttet til helt andre formål, uten at du kan gjøre noe for å forhindre det.
Er det uproblematisk at aktøren bak nettsamfunnet samler inn informasjon om deg også fra andre nettsteder, blogger, chattelinjer, andre brukere og lignende slik enkelte aktører ønsker?
Du må regne med at eierne av nettsamfunnet lagrer all informasjon om deg i ubestemt tid, også etter at du har slettet profilen din.
Husk at det blir dannet detaljerte profiler som sier svært mye om deg og dine venners interesser og adferd, og ikke minst også relasjonene dere i mellom. Dette er informasjon som kan være svært interessant for kommersielle aktører, ”stalkers”, kriminelle og andre.
Tåler alt innholdet som du legger ut i profilen din å bli sett av skolens ledelse, arbeidsgiver, politiet eller fremmede personer? Husk at bilder og personopplysningene du legger ut lett kan klippes ut og bli sett av andre langt utenfor din nære vennekrets.
Vær forberedt på at det du legger ut av kommentarer og synspunkter i prinsippet blir liggende tilgjengelig på Internett for alltid, også etter at du selv kanskje har endret dine oppfatninger og ståsted.

https://www.datatilsynet.no/om-datatilsynet/arsmeldinger/arsrapport-for-2022/

Allmänt · ‽IT · ∴ · interrobangit · Svenn Dybvik · § · §IT

Dela · Kommentera

.

Kommentera

Av Svenn Dybvik - 1 oktober 2020 07:00

▒

§IT

▼

Personopplysningsloven (utdrag)

https://lovdata.no/dokument/NL/lov/2018-06-15-38/*#*

https://lovdata.no/dokument/NL/lov/2018-06-15-38/KAPITTEL_gdpr-3-4#KAPITTEL_gdpr-3-4

https://lovdata.no/dokument/NL/lov/2018-06-15-38/KAPITTEL_gdpr-3-3#KAPITTEL_gdpr-3-3

https://lovdata.no/dokument/NL/lov/2018-06-15-38/KAPITTEL_gdpr-3-2#KAPITTEL_gdpr-3-2

Lov om behandling av personopplysninger (personopplysningsloven)

EUROPAPARLAMENTS- OG RÅDSFORORDNING (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning) [PVF, GDPR]

KAPITTEL III Den registrertes rettigheter

Avsnitt 2 Informasjon og innsyn i personopplysninger

https://lovdata.no/dokument/NL/lov/2018-06-15-38/KAPITTEL_gdpr-3-2#KAPITTEL_gdpr-3-2

Avsnitt 3 Retting og sletting

Artikkel 16. Rett til retting

https://lovdata.no/lov/2018-06-15-38/gdpr/a16

Artikkel 17. Rett til sletting («rett til å bli glemt»)

https://lovdata.no/lov/2018-06-15-38/gdpr/a17

Avsnitt 4 Rett til å protestere og automatiserte individuelle avgjørelser

Artikkel 21. Rett til å protestere

https://lovdata.no/lov/2018-06-15-38/gdpr/a21

Bilder på nett (1)

https://slettmeg.no/bilder-pa-nett/

Enhver som publiserer bilder på nettet må forholde seg til personopplysningslovens og åndsverklovens bestemmelser, samt det ulovfestede personvernet. Det innebærer at man i utgangspunktet ikke kan publisere et bilde av en person uten samtykke av den avbildede. Det er den som har publisert bildene som eventuelt må bevise at et frivillig, uttrykkelig og informert samtykke virkelig foreligger.

Situasjonsbilder kan offentliggjøres uten samtykke fra de avbildede så lenge bildene er harmløse og ikke krenkende for de som er avbildet. Situasjonsbilder kan defineres som bilder der selve situasjonen eller aktiviteten er det egentlige formålet med bildet. Akkurat hvem som er med på bildet er da mindre viktig enn hovedinnholdet i bildet. Eksempler på dette kan være en gruppe mennesker på en konsert, et idrettsarrangement, 17. mai-tog, eller hendelser som har allmenn interesse. Det gjelder også unntak fra samtykkekravet der avbildningen har aktuell og allmenn interesse, men her er grensen for det lovlige vanskelig. Det som imidlertid er sikkert er at kjente personer har mindre vern enn andre, men også kjente personer har et vern.

Bilder på nett (2)

https://www.datatilsynet.no/personvern-pa-ulike-omrader/internett-og-apper/bilder-pa-nett/

Når du skal publisere eller dele bilder eller film der personer er motivet, må du tenke gjennom om det du gjør er lovlig. Som en hovedregel, kan det for eksempel være lurt å alltid be om samtykke først.

Hvis det oppstår en konflikt, er det den som har delt bildene eller filmen som må bevise at et gyldig samtykke virkelig er gitt.

Bilder eller film av personer

Bilder som viser en eller flere bestemte personer, altså bilder der de enkelte personene er hovedmotivet kalles også portrettbilder. Dersom du skal publisere slike bilder på nett eller dele dem med andre (selv om det er i lukkede grupper), må du ha samtykke fra den eller de som er avbildet før bildet publiseres. Dette gjelder i den avbildedes levetid og 15 år etter utløpet av personens dødsår. Det gjelder også film/video, og det gjelder enten du selv har tatt bildene eller bare videreformidler dem.

Dersom det gjelder bilder av barn eller andre personer som ikke kan gi gyldig samtykke selv, må foresatte gi samtykke på disse sine vegne.

Klassebilder er også definert som portrettbilder siden det er personene som er hovedmotivet. Hvis en skole ønsker å publisere klassebilder på sine hjemmesider, kan dette bare gjøres dersom det er innhentet et godkjent samtykke.

Les mer om samtykke for skoler, barnehager og andre virksomheters bruk av bilder av barn.

Samtykke skal hentes inn FØR bildet eller filmen deles. Deler du familiebilder eller festbilder av omgangskretsen med andre, må du derfor ha samtykke fra alle som kan identifiseres på bildene. Dette gjelder selvsagt uansett om bildene publiseres på en hjemmeside, på en blogg, på sosiale medier eller andre nettsider. Det gjelder også om bildene deles i åpne eller lukkede grupper (slik som Facebook-grupper med flere medlemmer), og det gjelder direktestreaming selv om ingenting lagres. Brudd på disse reglene kan være straffbart.

Identitetskrenkelse

https://slettmeg.no/straffbart-pa-internett/

Det er straffbart å bruke en annen persons identitet eller en identitet som er lett å forveksle med en annes identitet for å oppnå uberrettiget vinning eller påføre en annen tap eller ulempe. Det kan f.eks gjelde opprettelse av en falsk profil på internett. 10. desember 2010 trådde en ny bestemmelse i staffeloven om identitetskrenkelse i kraft.

https://lovdata.no/lov/2005-05-20-28/§202

§ 202.Identitetskrenkelse
Med bot eller fengsel inntil 2 år straffes den som uberettiget setter seg i besittelse av en annens identitetsbevis, eller opptrer med en annens identitet eller med en identitet som er lett å forveksle med en annens identitet, med forsett om å

a. oppnå en uberettiget vinning for seg eller en annen, eller
b. påføre en annen tap eller ulempe.
0 Tilføyd ved lov 19 juni 2009 nr. 74.

Hacking

https://slettmeg.no/straffbart-pa-internett/

Det er straffbart å uberettiget skaffe seg adgang til data eller programutrustning som er lagret eller som overføres ved elektroniske eller andre tekniske hjelpemidler. Straffen er bøter eller fengsel inntil 6 måneder eller begge deler. Hacking er dermed omfattet av denne straffebestemmelsen. Dersom hackingen er utført for å skaffe noen en uberettiget vinning, eller gjerningspersonen har voldt skade ved å skaffe seg eller bruke opplysningene vedkommende har fått gjennom hackingen, heves strafferammen til fengsel i inntil 2 år.

https://lovdata.no/lov/2005-05-20-28/§201

§ 201.Uberettiget befatning med tilgangsdata, dataprogram mv.
Med bot eller fengsel inntil 1 år straffes den som med forsett om å begå en straffbar handling uberettiget fremstiller, anskaffer, besitter eller gjør tilgjengelig for en annen

a. passord eller andre opplysninger som kan gi tilgang til databasert informasjon eller datasystem, eller
b. dataprogram eller annet som er særlig egnet som middel til å begå straffbare handlinger som retter seg mot databasert informasjon eller datasystem. På samme måte straffes den som uten forsett om å begå en straffbar handling besitter et selvspredende dataprogram, og besittelsen skyldes uberettiget fremstilling eller anskaffelse av programmet.
0 Tilføyd ved lov 19 juni 2009 nr. 74.

https://lovdata.no/lov/2005-05-20-28/§204

§ 204.Innbrudd i datasystem
Med bot eller fengsel inntil 2 år straffes den som ved å bryte en beskyttelse eller ved annen uberettiget fremgangsmåte skaffer seg tilgang til datasystem eller del av det.

0 Tilføyd ved lov 19 juni 2009 nr. 74.

https://lovdata.no/lov/2005-05-20-28/§205

§ 205.Krenkelse av retten til privat kommunikasjon
Med bot eller fengsel inntil 2 år straffes den som uberettiget

a. og ved bruk av teknisk hjelpemiddel hemmelig avlytter eller gjør hemmelig opptak av telefonsamtale eller annen kommunikasjon mellom andre, eller av forhandlinger i lukket møte som han ikke selv deltar i, eller som han uberettiget har skaffet seg tilgang til,
b. bryter en beskyttelse eller på annen uberettiget måte skaffer seg tilgang til informasjon som overføres ved elektroniske eller andre tekniske hjelpemidler,
c. åpner brev eller annen lukket skriftlig meddelelse som er adressert til en annen, eller på annen måte skaffer seg uberettiget tilgang til innholdet, eller
d. hindrer eller forsinker adressatens mottak av en meddelelse ved å skjule, endre, forvanske, ødelegge eller holde meddelelsen tilbake.
0 Tilføyd ved lov 19 juni 2009 nr. 74.

Dokumentforfalskning/bruk av falskt dokument

https://slettmeg.no/straffbart-pa-internett/

Hvis noen har forfalsket en signatur for å skaffe seg tilgang på facebook konto eller annet, så er det straffbart eventuelt ved å sende/levere inn et slikt dokument og dermed ha brukt dokumentet. Straffen for å benytte et falsk dokument er bøter eller fengsel i opptil 2 år. Dette står i straffelovens § 361.

https://lovdata.no/lov/2005-05-20-28/§361

§ 361.Dokumentfalsk
Med bot eller fengsel inntil 2 år straffes den som

a. ettergjør eller forfalsker et dokument, eller anskaffer et ettergjort eller forfalsket dokument med forsett om bruke det eller la det fremstå som ekte eller uforfalsket,
b. rettsstridig bruker et dokument som nevnt i bokstav a og lar det fremstå som ekte eller uforfalsket, eller
c. utsteder et dokument og uriktig tillegger seg en stilling som er av vesentlig betydning for dokumentets bevisverdi, og lar dokumentet fremstå som riktig.
Med dokument menes i dette kapittel en informasjonsbærer som gjelder et rettsforhold eller ellers egner seg som bevis for et rettsforhold.

0 Tilføyd ved lov 19 juni 2009 nr. 74.

https://lovdata.no/lov/2005-05-20-28/§362

§ 362.Mindre dokumentfalsk

Når straffverdigheten er liten, straffes dokumentfalsk med bot. Ved denne avgjørelsen skal det særlig legges vekt på

a.hvilken verdi handlingen gjelder,

b.om den har hatt til følge skade eller uleilighet for noen,

c.i hvilken utstrekning den er resultat av planlegging.

0Tilføyd ved lov 19 juni 2009 nr. 74.

🔗

§ 363.Dokumentødeleggelse mv.

https://lovdata.no/lov/2005-05-20-28/§225

Anklage om oppdiktet straffbar handling

https://lovdata.no/lov/2005-05-20-28/§226

Plikt til å opplyse om uriktig tiltale eller domfellelse

https://lovdata.no/lov/2005-05-20-28/§266a

Alvorlig personforfølgelse

https://lovdata.no/lov/2005-05-20-28/§345

Besittelseskrenkelse

Å dele feriebilder på sosiale medier kan være ulovlig:

Å dele feriebilder på sosiale medier kan være ulovlig – NRK Nordland

Det er ikke fritt fram å dele feriebilder på sosiale medier. Dette er reglene.

Sommerferien er ofte stappfull av gode øyeblikk – og de bør lagres. På minnet eller på et minnekort, helst begge deler?

Mange vil gjerne dele disse gode øyeblikkene med venner, familie, kjente og ukjente.

Men å dele bilder uten samtykke kan være ulovlig.

Med bilder mener vi her både vanlige stillbilder og video.

– Bør ha et bevisst forhold til det

Silje-Mari Karlsen er fotograf i Meløy kommune. Hun er også mor, og har et bevisst forhold til deling av bilder på sosiale medier. Uansett hvem og hvor.

Kjøreregelen hennes er enkel:

– Jeg tenker alltid «hadde jeg vært komfortabel med å dele dette?». Dessuten spør jeg heller en gang for mye enn en gang for lite.

Karlsen opplever at foreldre generelt er flinke til å spørre før de deler bilder av barn på sosiale medier. Om så bare på Snapchat.

– Vet du hva du skulle gjort hvis du fant et bilde på avveie?

– Først og fremst ville jeg kontakta personen som hadde delt bildet og bedt den tatt det ned. Men risikoen for at skaden er gjort er jo allerede der... Så jeg er ikke helt sikker på hva jeg eventuelt skulle gjort videre, sier hun.

ID-tyveri, hacking og innboforsikring

Et godt råd da er å kontakte forsikringsselskapet sitt.

Hvis uhellet først er ute, altså at du finner et bilde på avveie, så går dette under innboforsikringen.

– I mange tilfeller er det innboforsikringen som hjelper deg å rydde opp i bilder på avveie. Det samme gjelder personlige opplysninger som spres, som for eksempel ved hacking.

Det sier Heidi Tofterå Slettemoen i Frende forsikring.

Forsikringen dekker altså for kostnadene ved å benytte seg av en tjeneste som hjelper deg å rydde digitalt.

Det er fordi det regnes som ID-tyveri og nettmisbruk, som begge vanligvis er underlagt innboforsikringen.

Det groveste de ser er bilder av lettkledde eller nakne barn som kommer på avveie.

– Det er veldig mange som ikke vet at det kan være ulovlig å dele bilder uten samtykke.

For å unngå det, har vi samlet noen kjøreregler fra Datatilsynet, Frende forsikring, Politiet, Barnevakten.no og Lovdata.

Datatilsynets sjekkliste for bildedeling

Her er noen stikkord til hva man må vurdere før deling av barnebilder.

Lovlighet: Del aldri bilder av andres barn uten samtykke fra deres foresatte.
Type bilde: Tenk over innholdet og bruk filter eller dårligere oppløsning når det er mulig, det gjør bildene mindre interessante for andre.
Mengde: Del færrest mulig bilder.
Kanalbruk: Vær bevisst på hvordan du deler bildene. Alt må ikke ligge åpent. Bruk personverninnstillinger og lag lukkede grupper.
Slett jevnlig: Ta en vårrengjøring og slett tidligere bilder du har publisert med jevne mellomrom.
Spør alltid barna: Bruk spørsmål som "Synes du det er greit at jeg deler dette bildet med familien eller vennene mine?" Da gjør du det forståelig for dem. Respekter svaret.

Kilde: Datatilsynet per 14.07.22

Du kan dele...

Bilder du har fått tillatelse til å dele.
En selfie på en konsert med mange mennesker i bakgrunnen.
Bilder hvor ukjente mennesker er ute av fokus/ikke er lett gjenkjennelige (vær spesielt påpasselig med barn).
Bilder hvor motivet ikke er menneskene. Du behøver ikke få samtykke hvis «personen er mindre viktig enn hovedinnholdet i bildet», for eksempel en turist som passerer i bakgrunnen når du tar portrettbilde av en venn.
Men hvis du har tatt bilde av for eksempel tre personer som snakker sammen, er alle tre hovedmotiv, dermed må du be om samtykke fra alle tre.

PS: Du skal ha tillatelse til å dele bildene selv om det «bare» er i lukkede grupper.

Tillatelsen gjelder også videredeling.

Du kan ikke dele...

Bilder der personene er motivet, man tydelig ser hvem som er avbildet – og du ikke har tillatelse til å dele bildet.
Ellers bør du være ekstra oppmerksom på bilder som viser sårbare eller nakne situasjoner. Som for eksempel bilder tatt i fylla, bilder av barn eller voksne med lite klær på, og så videre.

Du kan bryte personopplysningsloven

Et personbilde regnes som en personopplysning. Hvis du er med på at personopplysninger kommer på avveie, kan du bryte personopplysningsloven.
Du kan få to års fengselsstraff ved å dele nakenbilder eller andre krenkende bilder uten samtykke.

Hvis bildet ditt deles uten lov, kan du...

Sjekke om innboforsikringen din dekker nettmisbruk og id-tyveri.
Kontakte personen som har delt bildet og be hen fjerne det.
Kontakte appen eller nettstedet hvor bildet er delt. På Instagram kan man blant annet rapportere et bilde.
Selv om du har gitt samtykke til å dele bilde, kan du angre deg, og da skal bildet fjernes (uten å måtte oppgi grunn).
Kontakte politiet hvis opplysningene eller bildet som er publisert er så alvorlige at de bør fjernes raskt.

Husk å ta skjermbilder og dokumenter.

Så var det disse barna...

Andres barn:

Samtykke må innhentes av en av foreldrene.

Egne barn:

Når barnet er fylt 7 år, har det rett til å få si sin mening om saken.
Når barnet er fylt 12 år skal det legges stor vekt på hva barnet mener.
Når barnet er fylt 15 år, avgjør det selv om et bilde kan publiseres.

Et par ting til

Samtykke skal hentes inn før bildet eller filmen deles.
Lær barna dine reglene: Halvparten av norske niåringer bruker sosiale medier. Enten barnet ditt er ni år eller femten år, så repeter gjerne reglene for deling av bilder.

Sider med nyttig informasjon for bildedeling

Datatilsynet
Dubestemmer.no
Slettmeg.no
Konfliktrådet kan hjelpe i en fastlåst situasjon
Barnevakten.no

Frykter ungene skal få tilsendt intime bilder av mor – nå har Høyesterett slått fast straffenivået – NRK Møre og Romsdal – Lokale nyheter, TV og radio

https://www.datatilsynet.no/rettigheter-og-plikter/personvernprinsippene/

Personvernprinsippene

Personopplysningsloven inneholder både rettigheter og plikter. Felles for alle reglene er at de bygger på noen grunnleggende prinsipper. Alle som behandler personopplysninger må opptre i samsvar med disse prinsippene.

Prinsippene gir på ulike måter uttrykk for at behandling av personopplysninger skal skje på en måte som i størst mulig grad sikrer forutsigbarhet og forholdsmessighet for enkeltmennesket.

https://www.datatilsynet.no/rettigheter-og-plikter/personvernprinsippene/grunnleggende-personvernprinsipper/

Grunnleggende personvernprinsipper

Reglene for behandling av personopplysninger bygger på noen grunnleggende prinsipper. Alle som behandler personopplysninger må opptre i samsvar med disse prinsippene. Denne veilederen er en utredning av personvernprinsippene slik de er beskrevet i personvernforordningens artikkel 5. Veilederen baserer seg også på artikkel 6 og 9.

https://www.datatilsynet.no/personvern-pa-ulike-omrader/internett-og-apper/bilder-pa-nett/

https://www.datatilsynet.no/rettigheter-og-plikter/den-registrertes-rettigheter/

Allmänt · ‽IT · ∴ · interrobangit · Svenn Dybvik · § · §IT

Dela · Kommentera

.

Kommentera

Av Svenn Dybvik - 2 september 2020 08:00

▒

▲

https://www.datatilsynet.no/personvern-pa-ulike-omrader/kundehandtering-handel-og-medlemskap/digitale-tjenester-og-forbrukeres-personopplysninger/

https://nettvett.no/personvern/

Verdt å vite om personvern

Retten til privatliv har en verdi som er vanskelig å måle. Mange av oss ser verdien først når opplysninger om oss havner på avveier og vi opplever at integriteten vår er truet.

Vi har alle noe vi ikke vil dele med andre. Ikke fordi det er ulovlig eller noe vi må skjule, men rett og slett fordi det er privat. Enkelt sagt handler personvern om retten til et privatliv og om retten til å bestemme over egne personopplysninger.

Hva er personopplysninger?

En personopplysning er en opplysning eller en vurdering som kan knyttes til en enkeltperson, slik som for eksempel (ikke uttømmende liste):

navn,
adresse,
telefonnummer,
e-postadresse,
IP-adresse,
bilnummer,
bilder,
fingeravtrykk,
irismønster,
DNA-profil,
hodeform (for ansiktsgjenkjenning), og
fødselsnummer (både fødselsdato og personnummer).

Opplysninger om atferdsmønstre er også regnet som personopplysninger. Opplysninger om hva du handler, hvilke butikker du går i, hvilke tv-serier du ser på, hvor du beveger deg i løpet av en dag og hva du søker etter på nettet er alt sammen personopplysninger. En av utfordringene for personvernet er at vi legger igjen så mange digitale spor. Disse opplysningene utnyttes ofte kommersielt uten at du har samtykket til det.

Sensitive personopplysninger er opplysninger om:

rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning,
at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling,
helseforhold,
seksuelle forhold, eller
medlemskap i fagforeninger.

Les mer her: Hva er personvern?

Felles europeisk personvernregelverk fra 2018

For å styrke tilliten til digitale tjenester og den individuelle innbyggers rettigheter, samt å gjøre det lettere å utveksle personopplysninger over landegrenser, startet EU i 2012 arbeidet med et felles europeisk personvernregelverk. Stikkordene de jobbet utfra var tillit, kontroll, sikkerhet og forenkling. I april 2016 vedtok EU sin personvernforordning; General Data Protection Regulation (GDPR). Den er EØS-relevant som betyr at den også er innført i Norge i 2018. Den norske Personopplysningsloven ble i 2018 justert slik at den innbefatter det europeiske regelverket.

Les mer her: Datatilsynet

De ti viktigste lovendringene fra 2018

Selv om mange av prinsippene i dagens lovverk videreføres, får norske virksomheter flere og strengere plikter enn før. Brudd på reglene kan også gi større økonomiske konsekvenser enn i dag. Dette er de ti viktigste endringene:

1. Alle norske virksomheter får nye plikter

Alle virksomheter må sette seg inn i den nye lovgivningen og finne ut hvilke nye plikter som gjelder dem. Ledelsen må sørge for å få på plass rutiner for å overholde de nye pliktene. Alle ansatte må følge de nye rutinene når reglene trer i kraft.

2. Alle skal gi god informasjon om hvordan de behandler personopplysninger

Informasjon om hvordan din virksomhet behandler personopplysninger skal være lett tilgjengelig og skrevet på en forståelig måte. Det nye lovverket stiller strengere krav til informasjonens form og innhold enn dagens lovgivning. All informasjon som gis til barn, skal tilpasses barnas forståelsesnivå.

3. Alle skal vurdere risiko og personvernkonsekvenser

Dersom et tiltak utgjør en stor risiko for personvernet, må virksomheten også utrede hvilke personvernkonsekvenser det kan ha. Hvis utredningen viser at risikoen er stor og dere selv ikke kan redusere den, skal Datatilsynet involveres i forhåndsdrøftelser.

4. Alle skal bygge personvern inn i nye løsninger

De nye reglene stiller krav til at nye tiltak og systemer skal utarbeides på en mest mulig personvernvennlig måte. Dette kalles innebygd personvern. Den mest personvernvennlige innstillingen skal være standard i alle systemer.

5. Mange virksomheter må opprette personvernombud

Alle offentlige og mange private virksomheter skal opprette personvernombud. Et personvernombud er virksomhetens personvernekspert, og et bindeledd mellom ledelsen, de registrerte og Datatilsynet. Ombudet kan være en ansatt eller en profesjonell tredjepart.

6. Reglene gjelder også virksomheter utenfor Europa

Virksomheter som holder til utenfor Europa må også følge forordningen, dersom de tilbyr varer eller tjenester til borgere i et EU- eller EØS-land. Dette gjelder også om de ikke direkte tilbyr tjenester, men kartlegger adferden til europeiske borgere på nett. De som er etablert i flere land i Europa, skal bare trenge å snakke med personvernmyndighetene i det landet der de har sitt europeiske hovedkvarter.

7. Alle databehandlere får nye plikter

Databehandlere er virksomheter som behandler personopplysninger på oppdrag fra den ansvarlige virksomheten. Ofte er det snakk om leverandører av IT-tjenester. De nye reglene pålegger databehandlere å ha rutiner for innsamling og bruk av personopplysninger. Databehandlere skal også si ifra til oppdragsgiveren sin hvis de får instrukser som er i strid med loven. Oppdragsgiver skal også godkjenne databehandlerens underleverandører. Databehandlere kan også bli holdt økonomisk ansvarlig sammen med oppdragsgiver.

8. Alle bør samarbeide i egne nettverk og følge bransjenormer

De nye reglene oppmuntrer til sektorvis utforming av retningslinjer og bransjenormer. Om dere følger bransjenormer, vil dere ha de viktigste rutinene på plass. Datatilsynet skal godkjenne bransjenormene.

9. Alle får nye krav til avvikshåndtering

Reglene for håndtering av sikkerhetsbrudd blir strengere. Forordningen stiller krav til når det skal varsles, hva varselet skal inneholde og hvem som skal varsles. Kort sagt skal man si fra raskere og oftere enn man gjør i dag.

10. Alle må kunne oppfylle borgernes nye rettigheter

Den enkeltes rett til å kreve at hans eller hennes personopplysninger slettes blir styrket. Dette kalles “retten til å bli glemt”. Norske og europeiske borgere vil blant annet kunne kreve å ta med seg personopplysningene sine fra en leverandør til en annen i et vanlig brukt filformat. Dette kalles “dataportabilitet”. De kan også motsette seg profilering. Alle henvendelser fra borgere skal besvares innen en måned.

Mer informasjon

Hva betyr de nye personvernreglene for din virksomhet?

Hvilke rettigheter har man som enkeltperson?

(Kilde: Datatilsynet)

https://www.datatilsynet.no/personvern-pa-ulike-omrader/internett-og-apper/rad-for-analyse-og-sporing-pa-nettsted/

Internett, teknologi og apper

Råd for analyse og sporing på nettsted

Det finnes mange analyse- og sporingsverktøy på markedet, men det betyr ikke nødvendigvis at det er lovlig å ta dem i bruk på nettstedet ditt. Her er noen råd på veien.

Forhold deg til personvernforordningen (GDPR)

Når du tar i bruk verktøy for analyse og sporing på nettstedet, må du være forberedt på å følge reglene i personvernforordningen (GDPR). Dette gjelder selv om du ikke kjenner navnet eller identiteten til de som besøker nettstedet ditt. Analyseverktøyene samler nemlig inn mye informasjon om de besøkende som enten alene eller i kombinasjon kan utgjøre personopplysninger.

En IP-adresse vil som regel i seg selv regnes som en personopplysning. Cookie-ID, lokasjonsdata eller detaljert informasjon om brukernes enheter kan også utgjøre personopplysninger. Ofte blir slik informasjon kombinert med informasjon om de besøkendes adferd på nettstedet, og da regnes også dette som personopplysninger.
Les mer om personopplysninger.
Minimer datainnsamlingen

Det er ikke lov å samle inn flere personopplysninger enn du faktisk har behov for. Dersom du i dag har et analyseverktøy som samler inn opplysninger som du ikke bruker til noe, bryter du loven. Velg et analyseverktøy som bare gir deg den informasjonen du trenger og faktisk har nytte av.

Det er heller ikke lov å lagre personopplysninger lenger enn nødvendig.
Les mer om dataminimering, lagringsbegrensning og de andre personvernprinsippene.
Ikke stol på at cookie-banneret redder deg

Det er ulike regler for henholdsvis plassering av nettkapsler/cookies og behandling av personopplysninger. Et cookie-banner som bare oppfyller minimumskravene etter de norske cookie-regelverket, gir deg ikke lov til å bruke personopplysningene til de besøkende etter personvernforordningen. Du må da ha et såkalt behandlingsgrunnlag for å behandle personopplysninger. Det vil si at det ikke er fritt fram å behandle brukernes personopplysninger.
Les mer om behandlingsgrunnlagene.

Dersom du baserer analyse og sporing på samtykke, må du huske at personvernforordningen setter mange krav for at et samtykke skal være gyldig. For eksempel kreves det en aktiv handling (slik som å trykke på en knapp eller lignende). Det må være like lett å takke nei som å takke ja, og brukere som ikke samtykker, må ikke bli utsatt for negative konsekvenser. Brukerne må forstå hva de eventuelt samtykker til, og det må være mulig å trekke tilbake samtykket. Hvis nettstedet skal bruke personopplysninger til flere formål, skal det også være mulig å samtykke til hvert formål separat.
Les mer om samtykke.
Unngå at andre kan bruke personopplysninger fra nettstedet

Ofte må du lese tjenestevilkårene nøye for å forstå hva slags verktøy du har med å gjøre. Noen verktøy behandler bare personopplysninger på virksomhetens vegne og slik eieren av nettstedet bestemmer. Andre verktøy tar forbehold om at de selv kan bestemme over personopplysningene eller kan bruke dem for sine egne formål.

Det krever nøye vurderinger for å at bruk av verktøy i den sistnevnte situasjonen blir lovlig. Med andre ord er det stor fare for å trå feil hvis du ikke vet hva du holder på med. Vår anbefaling er derfor å velge verktøy som lover å bare behandle personopplysninger på dine vegne og slik du bestemmer.
Noen nettsider krever mer forsiktighet enn andre

Noen personopplysninger har særlig beskyttelse etter personvernforordningen. Det kan være opplysninger om noens helse, legning, seksuelle forhold, religion, etnisitet, politiske oppfatning eller filosofiske overbevisning. Dette kaller vi «særlige kategorier personopplysninger». Det skal mer til for å kunne behandle denne typen opplysninger lovlig nettopp fordi de er sensitive.

På noen nettsteder kan de besøkendes adferd i seg selv avsløre særlige kategorier personopplysninger. Det kan for eksempel være nettsteder som tilbyr tjenester innen psykisk helsehjelp, som selger medisiner eller som er rettet mot visse minoriteter. Vår klare anbefaling er at slike nettsteder unngår sporings- og analyseverktøy som behandler personopplysninger, siden det skal lite til for å bryte loven i slike tilfeller.

Datatilsynet er også bekymret over bruk av sporingsverktøy på offentlige nettsteder. En undersøkelse gjennomført av Teknologirådet (tekologiradet.no) viste at mange offentlige nettsider bruker sporingsverktøy som er inngripende og/eller som kan tillate tredjeparter å bruke personopplysningene til egne formål. Undersøkelsen tyder på at flere offentlige organer ikke følger loven i dag. Det offentlige bør imidlertid gå foran som et godt eksempel. Dessuten er det i samfunnets interesse at alle tør å oppsøke viktig informasjon fra offentlige organer, uten frykt for overvåking og sporing.
Unngå at personopplysninger flyter til utrygge land

Mange verktøy har kontor eller underleverandører i land utenfor EU/EØS. Dette må du undersøke før du tar i bruk verktøyet. I utgangspunktet er det nemlig ikke lov å overføre personopplysninger ut av EU/EØS. Fjerntilgang fra et land utenfor EU/EØS regnes som en overføring.

Sjekk tjenestevilkårene og se etter følgende:
- Kan data sendes til eller behandles i et land utenfor EU/EØS?
- Tilbyr verktøyet fjernsupport fra et land utenfor EU/EØS?
- Tar verktøyet forbehold om at det kan utlevere data til myndighetene i et land utenfor EU/EØS?

Hvis ja: Dersom det aktuelle landet står på lista over land og områder med et tilstrekkelig beskyttelsesnivå, er det OK å bruke verktøyet. Se oversikten her. Dersom landet det er snakk om er USA, sjekk om virksomheten står på lista over godkjente virksomheter.

Dersom det aktuelle landet derimot ikke står på lista over land og områder med tilstrekkelig beskyttelsesnivå, er situasjonen adskillig mer komplisert. Det krever grundige vurderinger og eventuelt tekniske tiltak for å bruke løsningen lovlig i slike tilfeller. Dersom du ønsker å begi deg ut på dette arbeidet, har vi laget en veileder som forklarer hva reglene krever. Hvis ikke, bør du se deg om etter et annet verktøy.
Vær åpen

De besøkende har rett til informasjon om hvordan du behandler personopplysningene deres. Pass på at du gir ærlig og enkelt forståelig informasjon om dette. Hvis du synes det er ubehagelig å fortelle hva du faktisk gjør med de besøkendes data, er det et tegn på at du kanskje burde endre praksis.
Les mer om hva du må gi informasjon om.
Respekter de besøkendes rettigheter

Når du behandler de besøkendes personopplysninger, har de en rekke rettigheter. For eksempel har de rett til innsyn i egne data, og de kan noen ganger også be om sletting. Du må være i stand til å behandle slike forespørsler innen én måned. Det kan være at de registrerte må oppgi tilleggsinformasjon for at du skal være i stand til å finne igjen dataene deres i verktøyet.
Les mer om plikten din til å legge til rette for at de besøkende skal kunne ivareta rettighetene sine
Vi har også laget en oversiktsside med enkeltpersonenes rettigheter.
Les deg opp – og ikke vær redd for å spørre om hjelp

Det finnes flere plikter i personvernforordningen som ikke er nevnt her – for eksempel når det gjelder hvilke formål du kan bruke personopplysninger til eller informasjonssikkerhet og avvikshåndtering.
Vi har laget en samleside med alle virksomhetens plikter etter GDPR som kan være til hjelp i arbeidet.

Dersom du synes det er vanskelig å forstå veiledningene, kan du eventuelt ringe veiledningstjenesten vår.

Les &så ► https://nettvett.no/veiledninger/

Allmänt · ‽IT · ∴ · interrobangit · Svenn Dybvik · § · §IT

Dela · Kommentera

.

Kommentera

Av Svenn Dybvik - 3 augusti 2020 01:00

▒

Så hänger lagarna ihop

▼

https://www.imy.se/verksamhet/dataskydd/sa-hanger-lagarna-ihop/

Dataskyddsreglerna grundar sig i de mänskliga rättigheterna. På den här sidan förklarar vi hur dataskyddslagarna hänger ihop och vilken lag som gäller före en annan.

Grunden till integritetsskyddet

https://www.riksdagen.se/sv/dokument-lagar/dokument/svensk-forfattningssamling/lag-19941219-om-den-europeiska-konventionen_sfs-1994-1219

Lag (1994:1219) om den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna

t.o.m SFS 2021:395

Europakonventionen om de mänskliga rättigheterna

1950 antog Europarådet den Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen). En av dessa rättigheter är individens rätt till respekt för sitt privat- och familjeliv. Den innebär att ingen ska behöva utsättas för godtyckliga eller olagliga inskränkningar i sitt privatliv. Europakonventionen gäller som lag i Sverige.

Grundläggande rättigheter

EU har antagit en stadga om de grundläggande rättigheterna, bland annat rätten till skydd för personuppgifter. I stadgan beskriver artikel 8 denna rätt:

► Var och en har rätt till skydd av de personuppgifter som rör honom eller henne.

► Dessa uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem.

► En oberoende myndighet ska kontrollera att dessa regler efterlevs.

Svensk grundlag

Ett skydd för den personliga integriteten finns även i svensk grundlag, i regeringsformen. Där står bland annat "var och en [är] gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden".

I konflikt mellan grundlag och EU-rätt står EU-rätten över. Vår grundlag får inte stå i strid med dataskyddsförordningen.

Dataskyddslagstiftningen

Det finns flera svenska lagar och förordningar på dataskyddsområdet som har kommit till för att skydda enskilda medborgares personliga integritet.

https://www.imy.se/globalassets/dokument/dataskyddsreformen---integritetslagarna2.pdf

Dataskyddsreformen

https://www.imy.se/verksamhet/dataskydd/sa-hanger-lagarna-ihop/

Dataskyddsreglerna grundar sig i de mänskliga rättigheterna. På den här sidan förklarar vi hur dataskyddslagarna hänger ihop och vilken lag som gäller före en annan.

Dataskyddsreformen består av två delar:

► Dataskyddsdirektivet

► Dataskyddsförordningen (GDPR)

Dataskyddsdirektivet, brottsdatalagen och registerförfattningar

Dataskyddsdirektivet reglerar specifikt hur personuppgifter får hanteras vid bland annat brottsbekämpning. I Sverige är dataskyddsdirektivet infört i nationell rätt genom brottsdatalagen.

De flesta myndigheter som berörs av brottsdatalagen har registerförfattningar som särskilt reglerar hur personuppgifter hanteras i deras verksamheter. Polisen följer till exempel polisens brottsdatalag.

Dataskyddsförordningen (GDPR)

Dataskyddsförordningen är till för att skydda grundläggande rättigheter och friheter, särskilt enskildas rätt till skydd av sina personuppgifter. Dataskyddsförordningen gäller i hela EU och har bland annat till syfte att skapa en enhetlig och likvärdig nivå för skyddet av personuppgifter, så att det fria flödet inom EU och EES inte hindras.

Dataskyddslagen

Varje land kan ta fram egen lagstiftning som kompletterar dataskyddsförordningen. I Sverige kallas denna lag dataskyddslagen. Den innehåller vissa undantag och anpassningar till svensk rätt, som exempelvis att även myndigheter kan få administrativa sanktionsavgifter om de bryter mot reglerna i förordningen.

Registerförfattningar

Förutom dataskyddslagen finns registerförfattningar som reglerar hur personuppgifter får hanteras i vissa offentliga verksamheter. Registerförfattningarna har företräde framför dataskyddslagen, men måste fortfarande överensstämma med dataskyddsförordningen (GDPR). Detta eftersom dataskyddslagen är subsidiär.

Patientdatalagen är ett exempel på en registerförfattning som reglerar hur personuppgifter får hanteras inom hälso- och sjukvården. Andra exempel på registerförfattningar är studiestödsdatalagen och utlänningsdatalagen.

Kamerabevakningslagen

Kamerabevakningslagen kompletterar dataskyddsförordningen. Om det finns speciella bestämmelser i kamerabevakningslagen så ska dessa gälla före motsvarande bestämmelse i dataskyddslagen och brottsdatalagen.

https://eur-lex.europa.eu/legal-content/SV/TXT/?uri=celex%3A32016R0679

https://www.riksdagen.se/sv/dokument-lagar/dokument/svensk-forfattningssamling/lag-2018218-med-kompletterande-bestammelser_sfs-2018-218

https://eur-lex.europa.eu/legal-content/SV/TXT/?uri=CELEX%3A32016L0680

https://www.riksdagen.se/sv/dokument-lagar/dokument/svensk-forfattningssamling/brottsdatalag-20181177_sfs-2018-1177

https://www.riksdagen.se/sv/dokument-lagar/dokument/svensk-forfattningssamling/kamerabevakningslag-20181200_sfs-2018-1200

.

Kommentera

Av Svenn Dybvik - 5 juli 2020 02:00

▒

Dataskyddsförordningen i fulltext

▼

https://www.imy.se/verksamhet/dataskydd/det-har-galler-enligt-gdpr/introduktion-till-gdpr/dataskyddsforordningen-i-fulltext/

Dataskyddsförordningens beaktandesatser (skäl)

https://www.imy.se/verksamhet/dataskydd/det-har-galler-enligt-gdpr/introduktion-till-gdpr/dataskyddsforordningen-i-fulltext/beaktandesatser/#S60

Grundläggande principer

https://www.imy.se/verksamhet/dataskydd/det-har-galler-enligt-gdpr/grundlaggande-principer/

All behandling av personuppgifter måste följa de grundläggande principerna som anges i dataskyddsförordningen.

Ska genomsyra all personuppgiftsbehandling

De grundläggande principerna kan sägas vara kärnan i dataskyddsförordningen. Principerna gäller för all personuppgiftsbehandling och sätter de yttersta ramarna för vad som är en tillåten behandling. Det är därför viktigt att ni förstår principerna och tillämpar dem i er verksamhet när ni behandlar personuppgifter. Ha alltid principerna i bakhuvudet när ni arbetar med personuppgiftsbehandling.

Principerna innebär bland annat att ni som personuppgiftsansvariga

måste ha stöd i dataskyddsförordningen för att få behandla personuppgifter
bara får samla in personuppgifter för specifika, särskilt angivna och berättigade ändamål
inte ska behandla fler personuppgifter än vad som behövs för ändamålen
ska se till att personuppgifterna är riktiga
ska radera personuppgifterna när de inte längre behövs
ska skydda personuppgifterna, till exempel så att inte obehöriga får tillgång till dem och så att de inte förloras eller förstörs
ska kunna visa att ni lever upp till dataskyddsförordningen och hur ni gör det.

En genomgång av de grundläggande principerna

Laglighet, korrekthet och öppenhet

All personuppgiftsbehandling måste vara laglig, korrekt och präglas av öppenhet.

Laglighet

Att personuppgiftsbehandlingen ska vara laglig innebär först och främst att ni måste ha en rättslig grund för all er personuppgiftsbehandling. I dataskyddsförordningen finns sex rättsliga grunder, varav en ska vara uppfylld för varje personuppgiftsbehandling.

Ni måste också följa övriga principer och bestämmelser i dataskyddsförordningen och i annan kompletterande lagstiftning.

Korrekthet

Behandlingen av personuppgifter ska vara rättvis, skälig, rimlig och proportionerlig i förhållande till de registrerade.

Personuppgiftsbehandlingen ska stå i rimlig proportion till den nytta som personuppgiftsbehandlingen innebär. Det betyder att ni ska väga era egna intressen mot de registrerades innan personuppgifterna behandlas. Ni ska också ta hänsyn till vilken personuppgiftsbehandling de registrerade rimligen kan förvänta sig. Personuppgiftsbehandlingen ska vara förståelig och begriplig för de registrerade och inte ske på dolda eller manipulerande sätt.

Öppenhet

Det ska vara klart och tydligt för de registrerade hur ni behandlar deras personuppgifter. De ska alltså veta att ni samlar in personuppgifter, varför ni samlar in dem och hur ni sedan använder dem. De registrerade ska också veta vad de har för rättigheter, till exempel hur de kan få felaktiga uppgifter rättade och hur de kan få personuppgifter raderade.

De registrerade måste därför få information om allt detta. Informationen ska vara lätt att hitta och den ska vara formulerad på ett sätt som är enkelt och begripligt. Det är särskilt viktigt att använda ett klart och tydligt språk om de registrerade är barn.

Information som ska lämnas till de registrerade när ni samlar in personuppgifter

Ändamålsbegränsning

Ni får bara samla in personuppgifter för särskilda, uttryckligt angivna och berättigade ändamål. Ni måste därför ha klart för er varför ni ska behandla personuppgifterna redan när ni börjar samla in dem. Ändamålen sätter ramarna för vad ni får och inte får göra, till exempel vilka uppgifter ni får behandla och hur länge ni får spara dem. Dokumentera vilka ändamål ni har med personuppgiftsbehandlingen. Det behöver ni för att kunna visa att ni uppfyller principen om ansvarsskyldighet.

Specifika och berättigade ändamål

Ändamålen måste vara specifika och konkreta, inte luddiga eller otydliga. Det är till exempel inte tillräckligt att ange "kontroller" som ändamål för loggning och övervakning, utan att också ange syftet med kontrollen. Syftet med kontrollen är kanske övervakning av säkerhets- eller tekniska skäl eller uppföljning av interna regler.

Det räcker normalt inte heller att ert ändamål enbart är att "förbättra användarnas upplevelse", "it-säkerhet" eller "framtida forskning". Det är alltför brett uttryckt, och de registrerade kan inte bedöma vad sådan personuppgiftsbehandling kan innebära.

Ändamålet måste också vara berättigat. Detta innebär att personuppgiftsbehandlingen dels ska ha en rättslig grund i dataskyddsförordningen, dels ska ske i enlighet med övrig tillämplig lagstiftning och allmänna rättsprinciper.

Behandla redan insamlade personuppgifter på nya sätt?

Om ni vill behandla insamlade personuppgifter på ett nytt sätt, måste det vara förenligt med de ursprungliga ändamålen. I sådana fall kan ni stödja er på samma rättsliga grund som ni hade när ni samlade in personuppgifterna. Kom ihåg att ni måste informera de registrerade om den nya personuppgiftsbehandlingen innan den påbörjas.

Om ni däremot vill använda personuppgifterna på ett sätt som inte är förenligt med de ursprungliga ändamålen, är det fråga om en helt ny personuppgiftsbehandling. Ni måste då börja om från början och finna en rättslig grund för personuppgiftsbehandlingen, stämma av så att den sker i enlighet med de grundläggande principerna och så vidare.

Är den nya personuppgiftsbehandlingen förenlig med de ursprungliga ändamålen?

När ni bedömer om en ny personuppgiftsbehandling är förenlig med tidigare ändamål ska ni bland annat ta hänsyn till och ställa er följande frågor:

Vilka kopplingar finns mellan ändamålen med den ursprungliga personuppgiftsbehandlingen och den nya?
I vilket sammanhang har ni samlat in personuppgifterna? Vilket förhållande har de registrerade till er som personuppgiftsansvarig? Vilken personuppgiftsbehandling kan de registrerade rimligen förvänta sig?
Vilken typ av personuppgifter ska ni behandla? Är uppgifterna känsliga?
Vilka konsekvenser kan personuppgiftsbehandlingen få för de registrerade?
Vilka skyddsåtgärder har ni, till exempel behörighetsstyrning, kryptering och pseudonymisering?

Det är som regel förenligt med de ursprungliga ändamålen att behandla personuppgifter även för

arkivändamål av allmänt intresse
vetenskapliga eller historiska forskningsändamål
statistiska ändamål.

Ni måste dock ha vidtagit lämpliga säkerhetsåtgärder för att skydda de registrerades rättigheter.

Uppgiftsminimering

Personuppgifter som behandlas ska vara adekvata, relevanta och inte för omfattande i förhållande till ändamålet. Behandla aldrig fler personuppgifter än vad som behövs. De personuppgifter som behandlas ska vara tydligt kopplade till ändamålet. Det är med andra ord inte tillåtet att samla in personuppgifter för obestämda framtida behov, för att de kan vara "bra att ha".

Riktighet

Personuppgifter som behandlas ska vara riktiga och, om nödvändigt, uppdaterade. Om personuppgifterna inte stämmer ska ni rätta eller radera dem. Det är därför viktigt att det finns rutiner på plats för att kunna korrigera och ta bort oriktiga personuppgifter, till exempel om en registrerad begär det.

Lagringsminimering

Ni får spara personuppgifter så länge som de behövs för ändamålet med personuppgiftsbehandlingen. När personuppgifterna inte längre behövs för ändamålet ska ni radera eller avidentifiera dem. Ni bör därför införa rutiner för gallring av personuppgifter, till exempel att ni genomför regelbundna kontroller eller raderar efter viss tid.

Personuppgifter som måste sparas

I vissa fall måste ni spara handlingar som innehåller personuppgifter även efter det att ni slutat använda dem. Det gäller till exempel bokföring, där bokföringslagen ställer krav på hur länge vissa handlingar ska sparas. Lagra då handlingarna på ett sådant sätt att de inte längre är tillgängliga i den dagliga verksamheten, det vill säga avskilj personuppgifterna. Det kan ni göra genom att separera handlingarna.

Det kan också vara tillåtet att lagra personuppgifter när det ursprungliga ändamålet inte längre är aktuellt, om det sker för

arkivändamål av allmänt intresse
vetenskapliga eller historiska forskningsändamål
statistiska ändamål.

Ni måste dock alltid vidta lämpliga säkerhetsåtgärder för att skydda personuppgifterna.

Integritet och konfidentialitet

När ni behandlar personuppgifter måste ni se till att uppgifterna skyddas på ett bra sätt genom att vidta lämpliga säkerhetsåtgärder.

Alla personuppgifter som ni behandlar måste skyddas, så att ingen obehörig kommer åt dem och så att de inte används på ett otillåtet sätt. Ni ska också se till så att personuppgifter inte förloras eller blir förstörda, till exempel genom olyckshändelser.

Ni måste därför införa lämpliga tekniska och organisatoriska säkerhetsåtgärder. Till tekniska åtgärder räknas till exempel brandväggar, kryptering, pseudonymisering, säkerhetskopiering och anti-virus-skydd. Organisatoriska åtgärder handlar till exempel om interna rutiner, instruktioner och riktlinjer.

Ansvarsskyldighet

Ni ansvarar för att följa de grundläggande principerna om personuppgiftsbehandling. Ni måste också kunna visa att ni följer dem och hur.

Ni kan visa att ni följer de grundläggande principerna på flera sätt, till exempel genom att

lämna tydlig information till de registrerade
föra register över och dokumentera de personuppgiftsbehandlingar som pågår i er organisation, inklusive vilka överväganden ni har gjort
upprätta interna riktlinjer för dataskydd (en dataskyddspolicy) och utbilda personalen
bygga in integritetsvänliga lösningar i era system (så kallat inbyggt dataskydd)
göra en konsekvensbedömning innan ni påbörjar personuppgiftsbehandling som innebär särskilda integritetsrisker
ansluta er till en godkänd uppförandekod eller certifieringsmekanism.

Rättsinformation

Fördjupa dig

Allmänt · ‽IT · ∴ · interrobangit · Svenn Dybvik · § · §IT

Dela · Kommentera

.

Kommentera

Av Svenn Dybvik - 5 juni 2020 03:00

▒

Kriterier för rätten att bli bortglömd av sökmotorer

▼

https://www.imy.se/verksamhet/dataskydd/dataskydd-pa-eu-niva/eu-riktlinjer/

Enligt domen i målet Costeja från EU-domstolen kan en registrerad begära att en aktör som tillhandahåller en sökmotor på internet raderar en eller flera länkar till webbsidor från de sökresultat som visas vid en sökning på dennas namn.

I riktlinjerna tolkas rätten att bli bortglömd av sökmotorer mot bakgrund av artikel 17 i förordningen. Riktlinjerna innehåller bland annat de skäl som den registrerade kan åberopa vid en begäran om radering som skickats till en sökmotorleverantör samt undantag från rätten att begära borttagande. Dessutom ges en bilaga om bedömningen av kriterier för att hantera klagomål vid vägran av borttagande.

https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-52019-criteria-right-be-forgotten-search-engines_sv

Öppenhet och information till de registrerade

https://www.imy.se/verksamhet/dataskydd/dataskydd-pa-eu-niva/eu-riktlinjer/

Enligt artikel 5.2 måste den personuppgiftsansvariga alltid kunna visa att personuppgifterna behandlas på ett öppet sätt gentemot den registrerade. Öppenhetskraven i dataskyddsförordningen gäller oavsett rättslig grund för behandlingen och under hela tiden som behandlingen pågår.

I riktlinjerna ges vägledning och hjälp att tolka öppenhetsskyldigheten vid behandling av personuppgifter. Riktlinjerna ger även vägledning för hur personuppgiftsansvariga bör gå till väga för att vara insynsvänliga och samtidigt garantera korrekthet och ansvarighet i sina öppenhetsåtgärder.

https://www.imy.se/globalassets/dokument/riktlinjer-om-oppenhet-och-information-till-registrerade.pdf

Inbyggt dataskydd och dataskydd som standard

https://www.imy.se/verksamhet/dataskydd/dataskydd-pa-eu-niva/eu-riktlinjer/

Enligt artikel 25 ska personuppgiftsansvariga genomföra lämpliga tekniska och organisatoriska åtgärder, såsom pseudonymisering, som är utformade för att effektivt genomföra dataskyddsprinciper, som uppgiftsminimering, och för integrering av de nödvändiga skyddsåtgärderna i behandlingen så att kraven i förordningen uppfylls och de registrerades rättigheter skyddas.

I riktlinjerna beskrivs de faktorer som personuppgiftsansvariga ska beakta vid utformning av it-system och rutiner. Riktlinjerna innefattar också praktisk vägledning om hur man tillämpar Data protection by design and by default i förhållande till de grundläggande principerna i artikel 5.1 etc.

https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-42019-article-25-data-protection-design-and_sv

Samtycke

https://www.imy.se/verksamhet/dataskydd/dataskydd-pa-eu-niva/eu-riktlinjer/

Förordningen inför ett förtydligande och en specificering av kraven för att få och visa upp giltigt samtycke.

I riktlinjerna görs en grundlig analys av begreppet samtycke genom praktisk vägledning för att säkerställa att det är förenligt med dataskyddsförordningen. Riktlinjerna utgår från artikel 29-arbetsgruppens yttrande 15/2011 om definitionen av begreppet ”samtycke”.

https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052020-consent-under-regulation-2016679_sv

Allmänt · ‽IT · ∴ · interrobangit · Svenn Dybvik · § · §IT

Dela · Kommentera

.

Kommentera

Av Svenn Dybvik - 7 maj 2020 04:00

▒

Riktad annonsering i sociala medier

▼

https://www.imy.se/verksamhet/dataskydd/dataskydd-pa-eu-niva/eu-riktlinjer/

Användning av sociala medier kan involvera många olika aktörer som är inblandade i processen att välja ut målgrupper. Vikten av att på ett korrekt sätt kunna identifiera de olika aktörernas roll och ansvarsområden har belysts i EU-domstolens avgörande i Wirtschaftsakademie och Fashion ID. Avgörandena visar att interaktionen mellan leverantörer av sociala medier och andra aktörer kan ge upphov till gemensamt personuppgiftsansvar enligt förordningen.

I riktlinjerna klargörs rollerna och ansvarsområdena mellan de olika aktörerna. Det innefattar bland annat de potentiella risker som finns för enskilda personers rättigheter och friheter, aktörerna och deras roller samt tillämpningen av viktiga dataskyddskrav som laglighet och öppenhet.

https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-82020-targeting-social-media-users_en

Rätten till tillgång

https://www.imy.se/verksamhet/dataskydd/dataskydd-pa-eu-niva/eu-riktlinjer/

Riktlinjen handlar om alla personers rätt att vända sig till en organisation och få reda på om, och i så fall vilka, uppgifter som behandlas om dem.

Den benar ut de olika delarna i rätten till tillgång och vad de innebär, nämligen

► rätten att få veta om personuppgifter behandlas eller inte

► rätten att få en kopia av de uppgifter som behandlas

► rätten att, om uppgifter behandlas, också få närmare information om behandlingen.

Riktlinjen var ute på publik konsultation till och med den 11 mars 2022.

https://edpb.europa.eu/system/files/2022-01/edpb_guidelines_012022_right-of-access_0.pdf

Rätten till dataportabilitet

https://www.imy.se/verksamhet/dataskydd/dataskydd-pa-eu-niva/eu-riktlinjer/

Förordningen inför en ny rätt till dataportabilitet genom artikel 20.

I riktlinjerna ges vägledning om hur rätten till dataportabilitet ska tolkas och genomföras. Bland annat beskrivs rätten till dataportabilitet och dess räckvidd och under vilka villkor rättigheten gäller. Riktlinjerna innehåller även konkreta exempel och kriterier för att förklara under vilka omständigheter rättigheten ska tillämpas.

https://www.imy.se/globalassets/dokument/riktlinjer-om-ratten-till-dataportabilitet.pdf

https://www.imy.se/privatperson/dataskydd/vi-guidar-dig/for-dig-som-kund/

För dig som kund

När du blir kund hos ett företag samlar företaget ofta in uppgifter om dig för att till exempel kunna leverera den vara eller tjänst du köpt eller skicka erbjudanden till dig. Företaget måste följa reglerna i dataskyddsförordningen, som att ha en rättslig grund för behandlingen av personuppgifter och ge tydlig information om hur dina uppgifter används.

Personuppgift – mer än namn och adress

Personuppgifter är uppgifter som enskilt eller i kombination med andra uppgifter kan knytas till en fysisk levande person, till exempel

namn, personnummer
adress, e-postadress, telefonnummer
foton och ljudupptagningar
betalningsuppgifter som konto- eller betalkortsnummer.

Vad är en personuppgiftsbehandling?

En personuppgiftsbehandling innebär att ett företag hanterar dina uppgifter på något sätt, till exempel samlar in, registrerar, lagrar, ändrar eller lämnar ut uppgifter om dig.

Företaget måste ha en rättslig grund för behandlingen

När ett företag behandlar uppgifter om dig som kund måste det kunna stödja sig på någon av de rättsliga grunderna i dataskyddsförordningen. Om företaget inte har en rättslig grund är personuppgiftsbehandlingen inte laglig.

Avtal som rättslig grund

Ett företag får behandla uppgifter som är nödvändiga för att fullgöra ett avtal med dig eller för att vidta åtgärder på begäran av dig innan du ingår ett avtal. Det kan till exempel handla om att företaget behöver din adress för att företaget ska kunna leverera det som du har beställt hem till dig. Behandling av personuppgifter som inte är nödvändig för att fullgöra avtalet, till exempel i syfte att skicka reklam eller utvärdera företagets tjänst, kräver en annan rättslig grund.

Samtycke som rättslig grund

Ett företag får också behandla personuppgifter med stöd av ett samtycke från dig. För att ett samtycke ska vara giltigt krävs att det är frivilligt och att du är införstådd med hur dina personuppgifter behandlas eller ska behandlas. Samtycket ska dessutom gälla en specifik personuppgiftsbehandling. Samtycket ska uttryckas genom en aktiv handling från dig och du har rätt att när som helst dra tillbaka det utan att det ska behöva leda till negativa konsekvenser för dig.

Det finns en missuppfattning om att ett samtycke alltid krävs för att en personuppgiftsbehandling ska vara tillåten. Om ett företag kan behandlar dina uppgifter med stöd av någon av de andra rättsliga grunderna kanär personuppgiftsbehandlingen vara tillåten utan ditt samtycke. Samtycke är alltså bara en av de olika rättsliga grunderna som ett företag kan stödja sig på.

Det är två olika saker att acceptera avtalsvillkor och att lämna sitt samtycke till behandling av personuppgifter. Sådan behandling av personuppgifter som inte är nödvändig för att fullgöra avtalet, utan till exempel skergörs för att skicka ut reklam eller utvärdera företagets tjänst, kräver en annan rättslig grund än avtal. För att den typen av behandling ska vara tillåten med stöd av ett samtycke krävs att du aktivt samtycker till varje sådan behandling för sig. Att den typen av behandlingar räknas upp i avtalsvillkoren innebär inte att du har samtyckt till dem när du ingår avtalet.

Återkalla samtycke

Exempel

Du skriver upp dig på en butiks nyhetsbrev för att få ta del av butikens allmänna erbjudanden. Butiken begär sedan ditt samtycke för att få samla in information om dina köpvanor och skräddarsy erbjudanden till dig baserat på din köphistorik. Du återkallar efter en tid ditt samtycke för att få skräddarsydda erbjudanden. Butiken måste då sluta skicka ut skräddarsydda erbjudanden till dig eftersom den inte längre har en rättslig grund för att behandla dina uppgifter för det syftet. Du kan däremot fortfarande få ta del av butikens allmänna erbjudanden.

Intresseavvägning som rättslig grund

Ett företag får i vissa fall behandla dina personuppgifter med stöd av en intresseavvägning. I ett sådant fall behöver företaget inte ha ditt samtycke för att få behandla uppgifterna. Däremot krävs det att behandlingen behövs för ett berättigat intresse och att ditt intresse av skydd för dina personuppgifter inte väger tyngre.

Intresseavvägning som rättslig grund för att skicka reklam

Exempel

Du får ett erbjudande från ett företag om att samla dina lån. Du har inte tidigare varit i kontakt med företaget och heller inte registrerat dina uppgifter före reklamutskicket. Företaget kan i detta fall behandla ditt namn och din adress med stöd av en intresseavvägning för att kunna skicka erbjudandet till dig. Det betyder att ditt samtycke inte behövs.

I det fallet vägs istället skyddet för din personliga integritet mot företagets ekonomiska intresse av att kunna marknadsföra sig och/eller sina varor/tjänster. Du kan dock när som helst meddela företaget att du inte vill ha reklamutskick och då ska utskicken upphöra. Det ska vara enkelt för dig att säga ifrån att du inte längre vill ha reklam.

Personuppgifter ska behandlas på rätt sätt

När företag behandlar personuppgifter om dig som kund ska de säkerställa att uppgifterna är riktiga och, om nödvändigt, uppdaterade. Företag är också skyldiga att vidta säkerhetsåtgärder för att skydda dina personuppgifter från bland annat obehörig åtkomst och otillåten användning.

Personuppgifter får inte sparas längre än nödvändigt

Företag får inte spara uppgifter om dig längre än vad som är nödvändigt för ändamålet med personuppgiftsbehandlingen. Företag ska därför radera eller avidentifiera dina personuppgifter när de inte längre behövs. Det ska göras fortlöpande eller efter en viss tid, till exempel när kundförhållandet med dig upphör.

Företag får i vissa fall spara dina personuppgifter även när det inte längre är nödvändigt för att till exempel fullgöra avtalet med dig som kund eller efter det att du återkallat ett samtycke. Det gäller till exempel vid bokföring, eftersom bokföringslagen ställer krav på att vissa handlingar ska sparas under en viss tid. Företaget får i så fall inte använda dina personuppgifter för annat än bokföring eller spara uppgifter som inte behövs för bokföringen.

Nyhetsbrev och reklam

Exempel

Du invänder mot att ett företag använder dina personuppgifter för att skicka nyhetsbrev och reklam till dig. Företaget får inte behandla dina personuppgifter för sådana ändamål när du har invänt mot behandlingen.

Dina rättigheter som kund

Du har rätt till information

Om ett företag behandlar dina personuppgifter ska du få information om detta. De ska bland annat informera om

varför dina personuppgifter behandlas och vilken rättslig grund företaget använder
vilka personuppgifter om dig som behandlas
om uppgifterna har lämnats eller kan komma att lämnas ut till tredje part
hur länge uppgifterna kommer att lagras eller vad som avgör lagringstiden.

Du har rätt att få tillgång till dina personuppgifter

Du har rätt att vända dig till ett företag för att få veta vilka personuppgifter som företaget har om dig. Du ska bland annat få veta

vilka personuppgifter om dig som behandlas
varifrån uppgifterna kommer
ändamålen med behandlingen
vilka mottagare eller kategorier av mottagare som personuppgifterna eventuellt har lämnats ut till eller ska lämnas ut till.

Du har rätt att i vissa fall få dina personuppgifter raderade

Du har rätt att vända dig till ett företag som behandlar dina personuppgifter och be att uppgifterna raderas. De ska radera dina uppgifter när

personuppgifterna inte längre är nödvändiga för ändamålet/syftet med behandlingen
personuppgifterna har behandlats olagligt
företaget inte längre har någon rättslig grund för att behandla uppgifterna.

Företag kan ibland behöva ha kvar dina personuppgifter för att uppfylla sina skyldigheter enligt annan lagstiftning, som till exempel vid bokföring. Företaget ska efter din eventuella begäran göra en bedömning av om informationen ska tas bort eller om det finns något stöd för att ha kvar uppgifterna.

Du har rätt att få ut dina personuppgifter och eventuellt även överförda till ett annat företag

Du har under vissa förutsättningar rätt att få ut dina personuppgifter från ett företag där du är kund, så att du exempelvis kan använda uppgifterna hos ett annat företag. Denna rättighet gäller endast om företaget som du vill få ut personuppgifterna från har behandlat dina uppgifter med stöd av ditt samtycke eller för att uppgifterna varit nödvändiga för att fullgöra ett avtal. Det gäller också endast uppgifter som du själv lämnat till företaget.

Om du begär det och det är tekniskt möjligt ska uppgifterna överföras direkt från företaget till det andra företaget. I annat fall ska du få uppgifterna i ett format som gör att informationen kan vidareanvändas.

Överföringen får inte innebära en negativ påverkan på andra personers rättigheter och friheter, till exempel om det i dina uppgifter även finns personuppgifter om andra personer.

https://www.imy.se/privatperson/dataskydd/vi-guidar-dig/for-dig-som-kund/

Allmänt · ‽IT · ∴ · interrobangit · Svenn Dybvik · § · §IT

Dela · Kommentera

§IT

Døme

Bordet fangar

Formålet avgjer lagringstida

Virksomhetenes plikter

Husk:

§IT

Sletting av søketreff i søkemotorer

Unntak

Virksomheten har plikter dersom den har utlevert opplysninger

Dine rettigheter

Les mer

Mulige personvernproblemstillinger

Dersom du vil sende klage

Personvern i sosiale medier

Råd om sosiale medier og personvern

Det kan også være lurt å reflektere over følgende:

§IT

– Bør ha et bevisst forhold til det

ID-tyveri, hacking og innboforsikring

Datatilsynets sjekkliste for bildedeling

Du kan dele...

Du kan ikke dele...

Du kan bryte personopplysningsloven

Hvis bildet ditt deles uten lov, kan du...

Så var det disse barna...

Et par ting til

Sider med nyttig informasjon for bildedeling

§IT

Deling av bilder, film eller lydopptak uten samtykke

Det er ikke fritt fram å dele feriebilder på sosiale medier. Dette er reglene.

Grov deling av krenkende bilder mv.

Krenkelse av retten til privat kommunikasjon

Krenkelser mot privatlivets fred

Plikt til å avverge et straffbart forhold

Dokumentforfalskning

Bruk av falskt dokument

Hensynsløs atferd

Offentlig sted og offentlig handling

Retting og sletting

Rett til retting

Forskrift om behandling av personopplysninger

Overgangsregler om behandling av personopplysninger

Ethvert formål med behandling av personopplysninger skal identifiseres og beskrives presist.

Forslag til lover og forskrifter med betydning for personvern

Formålet avgjer lagringstida

Digitale tjenester og forbrukeres personopplysninger

Verdt å vite om personvern

Hva er personopplysninger?

Felles europeisk personvernregelverk fra 2018

De ti viktigste lovendringene fra 2018

1. Alle norske virksomheter får nye plikter

2. Alle skal gi god informasjon om hvordan de behandler personopplysninger

3. Alle skal vurdere risiko og personvernkonsekvenser

4. Alle skal bygge personvern inn i nye løsninger

5. Mange virksomheter må opprette personvernombud

6. Reglene gjelder også virksomheter utenfor Europa

7. Alle databehandlere får nye plikter

8. Alle bør samarbeide i egne nettverk og følge bransjenormer

9. Alle får nye krav til avvikshåndtering

10. Alle må kunne oppfylle borgernes nye rettigheter

Mer informasjon

Råd for analyse og sporing på nettsted

Så hänger lagarna ihop

Sex steg för att få koll på GDPR

▼

▼

▼

▼

Dataskydds­förordningen i fulltext

Dataskydds­förordningens beaktandesatser (skäl)

Grundläggande principer

Ska genomsyra all personuppgiftsbehandling

En genomgång av de grundläggande principerna

Laglighet

Korrekthet

Öppenhet

Specifika och berättigade ändamål

Behandla redan insamlade personuppgifter på nya sätt?

Är den nya personuppgiftsbehandlingen förenlig med de ursprungliga ändamålen?

Dataskyddsförordningen i fulltext

Dataskyddsförordningens beaktandesatser (skäl)